Post on 14-Jun-2021
HAL Id tel-01754669httpstelarchives-ouvertesfrtel-01754669v2
Submitted on 24 Nov 2016
HAL is a multi-disciplinary open accessarchive for the deposit and dissemination of sci-entific research documents whether they are pub-lished or not The documents may come fromteaching and research institutions in France orabroad or from public or private research centers
Lrsquoarchive ouverte pluridisciplinaire HAL estdestineacutee au deacutepocirct et agrave la diffusion de documentsscientifiques de niveau recherche publieacutes ou noneacutemanant des eacutetablissements drsquoenseignement et derecherche franccedilais ou eacutetrangers des laboratoirespublics ou priveacutes
Seacutecuriteacute des ressources collaboratives dans les reacuteseauxsociaux drsquoentreprise
Ahmed Bouchami
To cite this versionAhmed Bouchami Seacutecuriteacute des ressources collaboratives dans les reacuteseaux sociaux drsquoentreprise Cryp-tographie et seacutecuriteacute [csCR] Universiteacute de Lorraine 2016 Franccedilais NNT 2016LORR0091 tel-01754669v2
Ecole doctorale IAEM Lorraine
Securite des ressources collaboratives
dans les reseaux sociaux drsquoentreprise
THESE
presentee et soutenue publiquement le ndash 02 septembre 2016
pour lrsquoobtention du
Doctorat de lrsquoUniversite de Lorraine
(mention informatique)
par
Ahmed BOUCHAMI
Composition du jury
Rapporteurs Maryline LAURENT Professeur Telecom SudParis
Abdelmadjid BOUABDALLAH Professeur Universite de Technologie de Compiegne
Examinateurs Salima BENBERNOU Professeur Universite Paris Descartes
Yves LE TRAON Professeur Universite du Luxembourg
Olivier FESTOR Directeur de recherche INRIA
Invites Ehtesham ZAHOOR Maitre de conference National University of Computer
and Emerging Sciences FAST-NU Islamabad Pakistan
Directeur de thegravese Olivier PERRIN Professeur Universite de Lorraine
Laboratoire Lorrain de Recherche en Informatique et ses Applications mdash UMR 7503
Mis en page avec la classe thesul
Remerciements
Je tiens agrave remercier du fond du cœur toutes ces personnes qui mrsquoont soutenu et aideacute pour la
reacutealisation de cette thegravese
En premier lieu je tiens agrave remercier le professeur MOlivier PERRIN pour mrsquoavoir encadreacute et
accompagneacute tout au long du projet de thegravese un encadrement marqueacute par la rigueur la subtiliteacute
et le respect Je remercie eacutegalement mon ami Ehtesham ZAHOOR de mrsquoavoir soutenu dans des
moments difficiles de ce projet et de mrsquoavoir aideacute pour la reacutealisation drsquoune partie importante de
celui-ci Par ailleurs je remercie tous les membres de mon jury de thegravese qui mrsquoont honoreacute drsquoavoir
accepteacute drsquoeacutevaluer mon travail et pour lrsquoavoir appreacutecieacute
Je remercie tous les membres de lrsquoeacutequipe COAST que jrsquoai eu la chance de connaitre pendant mon
passage au LORIA avec une penseacutee particuliegravere pour Claude GODART pour ces conseils aviseacutes Eacutelio
GOETELMAN et Amina AHMED-NACER pour leur aide preacutecieuse et Jordi MARTORI pour la bonne
ambiance au sein de notre bureau
Je tiens eacutegalement agrave remercier les collegravegues du laboratoire LORIA-INRIA GrandEST pour les
agreacuteables moments que jrsquoai passeacutes en leur compagnie merci Cheddy Wazen Hamma Mohamed
Mehdi Rafik Karim Yassine Younes Slouma Nabil Nihel Mohcen Tarik Isabelle ainsi qursquoagrave tous
ceux qui ont participeacute agrave cette belle aventure Je remercie du fond du coeur mes amies Manelle Asma
Khaoula Ilef et mon camarade Faycel pour les moments de joie qursquoon a passeacutes ensemble
Mes penseacutees les plus profondes sont eacutevidemment reacuteserveacutees agrave mes chers parents et mon adorable
femme pour leur soutien psychologique qui mrsquoa inspireacute durant ces derniegraveres anneacutees
1
2
Agrave ma tregraves chegravere famille
3
4
Sommaire
Chapitre 1
Introduction geacuteneacuterale
11 Introduction 13
12 Contexte geacuteneacuteral 15
13 La seacutecuriteacute dans un RSE 16
131 Authentification 17
132 Autorisation 18
133 Audit et gouvernance 19
134 Synthegravese 20
14 Reacutesumeacute des contributions de la thegravese 20
141 Conception drsquoarchitecture et gestion des identiteacutes -Authentification- 20
142 Controcircle drsquoaccegraves et supervision -Autorisation et Audit- 22
143 Mise en œuvre 23
15 Reacutesumeacute du sujet de la thegravese 24
16 Organisation de la thegravese 24
Chapitre 2
Probleacutematique et motivations
21 Introduction 27
22 Exemple de motivation 28
23 Gestion des ressources et identiteacutes collaboratives 31
231 Types de collaboration dans les environnements collaboratifs 31
2311 Collaboration agrave long terme 31
2312 Collaboration agrave faible couplage 32
2313 Collaboration Ad Hoc 33
2314 Synthegravese 34
232 Gestion de lrsquoauthentification 34
24 Controcircle drsquoaccegraves 35
5
Sommaire
25 Supervision et confiance numeacuterique 38
251 Gestion du risque des requecirctes de demande drsquoaccegraves 39
26 Synthegravese 39
27 Conclusion 40
Chapitre 3
Eacutetat de lrsquoart
31 Gestion des identiteacutes numeacuteriques collaboratives 41
311 Identiteacute et cycle de vie 42
312 Eacutetude des solutions existantes 43
3121 Authentification forte 43
3122 Authentification unique multi-domaine (SSO) 44
3123 Authentification feacutedeacutereacutee 46
32 Controcircle drsquoaccegraves 49
321 Paradigmes de construction drsquoun langage de politique 50
322 Politiques de controcircle drsquoaccegraves classiques et modegraveles associeacutes 51
3221 DAC 52
3222 MAC 52
3223 Politiques de controcircle drsquoaccegraves baseacutees sur le rocircle ndashRBAC- 54
3224 Synthegravese 56
323 Attribute Based Access Control 58
324 Mise en œuvre de politiques ABAC 60
3241 eXtensible Access Control Markup Language ldquoXACMLrdquo - un forma-
lisme structureacute - 60
3242 Le point sur XACML par rapport agrave OpenPaaS RSE 63
325 Controcircle drsquoaccegraves dynamique 64
3251 Contexte et controcircle drsquoaccegraves 65
3252 Confiance numeacuterique 66
3253 Gestion du risque 68
326 Deacuteleacutegation 71
327 Vers une implantation formelle de XACML 73
33 Conclusion 76
34 Synthegravese de lrsquoeacutetat de lrsquoart 76
Chapitre 4
Architecture et gestion des identiteacutes numeacuteriques
41 Introduction 79
6
42 Gestion et administration des identiteacutes et ressources 79
421 Gestion des ressources 80
422 Gestion des politiques 81
423 Gestion des identiteacutes numeacuteriques 82
4231 Feacutedeacuteration des identiteacutes numeacuteriques 83
4232 LemonLDAP-NG 86
4233 Authentification et interopeacuterabiliteacute 88
43 Conclusion 91
Chapitre 5
Controcircle drsquoaccegraves
51 Introduction 93
52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves 93
521 Attribute Based Access Control 94
522 Vision drsquoarchitecture 95
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves 96
531 Modeacutelisation des regravegles de controcircle drsquoaccegraves 97
5311 Cible 97
5312 Effet et condition 98
5313 Modegravele de regravegle 98
5314 Instance et eacutevaluation de regravegle 99
532 Modeacutelisation de politiques de controcircle drsquoaccegraves 100
5321 Patron de politiques baseacutees sur la cible 101
5322 Patron de politiques baseacutees sur le sujet 102
5323 Instance et eacutevaluation de politique 103
533 PolicySet 104
5331 Politique drsquoentreprise 105
534 Synthegravese 107
54 Deacuteleacutegation 107
541 Preacutesentation formelle de deacuteleacutegation 108
5411 Deacuteleacutegation interne 108
542 Deacuteleacutegation externe 111
543 Application des modegraveles sur lrsquoexemple de motivation 111
55 Conclusion 112
7
Sommaire
Chapitre 6
Gestion du risque
61 Introduction 113
62 Contexte 113
63 Meacutetrique drsquoeacutevaluation du risque 114
631 Deacutefinitions 116
64 Expeacuterimentation 119
641 Impleacutementation 119
642 Reacutesultats 120
643 Discussion 122
65 Conclusion 123
Chapitre 7
Confiance numeacuterique
71 Introduction 125
72 Contexte 125
73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation 126
731 Preacutesentation formelle du meacutecanisme drsquoeacutevaluation de confiance 127
732 Illustration 130
74 Eacutetude expeacuterimentale 130
741 Discussion 131
75 Conclusion 133
Chapitre 8
Implantation des composantes de seacutecuriteacute
81 OpenPaaS RSE vue abstraite 135
82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash 136
821 Reacutesumeacute de solution proposeacutee 137
822 Implantation 137
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash 140
831 Reacutesumeacute de la solution proposeacutee 140
832 Implantation 141
8321 Authorization store 141
84 Audit et gouvernance des ressources collaboratives dans OpenPaaS 147
85 Conclusion 151
8
Chapitre 9
Conclusion et perspectives
91 Synthegravese 153
92 Perspectives 155
Bibliographie 157
9
Sommaire
10
Abstract
Enterprise social networks (ESN) have revolutionized collaboration between professional orga-
nizations By means of an ESN conventional mobility constraints complex procedures for services
exchange and the lack of flexibility and communication are no longer concerns In this thesis we have
worked on the project OpenPaaS ESN Mainly we focused on the management of the access control
which led us to other needs namely the management of digital identities and their monitoring We
worked primarily on managing the authentication of digital identities within collaborative communi-
ties made of heterogeneous enterprises regarding authentication management systems For this we
have proposed an interoperable architecture for managing federated authentication allowing thus
each enterprise to preserve its (own) authentication mechanism and each principal to perform a sin-
gle sign on authentication regarding different enterprises Further we focused on the management
of digital identities accreditations ie Access Control On this aspect we have proposed a flexible
access control model based on a set of identity attributes We developed this model on the basis of
a formal language based on temporal logic namely the Event-Calculus logic We were thus able to
make the sharing of resources fluid and agile and also able to handle temporary authorizations ie
delegations The fluidity and agility of the shares is due to the user-centric resourcesrsquo sharing in a
straightforward manner In addition the logical formalism has allowed us to automatically check the
access control policies consistency For enterprises our access control system gives them the ability
to control the user-centric sharing policies through policies based on a risk management mechanism
which make our access control mechanism dynamic The risk mechanism is based on the NISTrsquos risk
definition with an alignment with a set of parameters that include access control in the ESN context
More precisely the dynamic risk management includes the collaborative resourcersquos importance the
authentication systemrsquos vulnerabilities and trust level reflected through the behavior of each collab-
orative actor On this latter aspect of trust we made an evaluation of trust through the computation
of reputation scores based on the history of collaborative interactions of each subject of collabora-
tion Finally we have implemented all those security modules and integrate them as a prototype into
OpenPaaS ESN
Keywords Security Identity Federation ABAC access control delegation risk management digital
trust
11
Reacutesumeacute
Les reacuteseaux sociaux drsquoentreprise (RSE) ont reacutevolutionneacute la collaboration entre les organisations
professionnelles Gracircce aux RSEs les contraintes classiques de mobiliteacute de proceacutedures compliqueacutees
drsquoeacutechange de services et de manque de flexibiliteacute et de communication en matiegravere de cercles col-
laboratifs ne sont plus drsquoactualiteacute Dans cette thegravese nous avons travailleacute sur le projet OpenPaaS
RSE Principalement nous nous sommes focaliseacutes sur la partie gestion du controcircle drsquoaccegraves qui nous
a conduit vers drsquoautres besoins agrave savoir la gestion des identiteacutes numeacuteriques et leurs supervisions
Nous avons travailleacute en premier lieu sur la gestion de lrsquoauthentification des identiteacutes numeacuteriques au
sein de communauteacutes de collaboration regroupant des entreprises heacuteteacuterogegravenes en matiegravere de ges-
tion de lrsquoauthentification Pour cela nous avons proposeacute une architecture de feacutedeacuteration interopeacuterable
en matiegravere de gestion de lrsquoauthentification permettant ainsi agrave chaque entreprise de preacuteserver son
meacutecanisme drsquoauthentification (propre) et aux acteurs de proceacuteder agrave une authentification unique
Nous nous sommes ensuite concentreacutes sur la gestion des accreacuteditations des identiteacutes numeacuteriques
(ie controcircle drsquoaccegraves) Sur cet aspect nous avons proposeacute un meacutecanisme flexible de controcircle drsquoaccegraves
baseacute sur un ensemble drsquoattributs identitaires que nous avons conccedilu sur la base drsquoun langage formel
fondeacute sur la logique temporelle Event-Calculus Nous sommes ainsi en mesure de rendre le partage
de ressources fluide et agile et par ailleurs capables de geacuterer des autorisations temporaires (ie les
deacuteleacutegations) La fluiditeacute et lrsquoagiliteacute du partage sont dues au fait que nous avons modeacuteliseacute notre meacute-
canisme de controcircle drsquoaccegraves de telle sorte que le partage soit baseacute principalement sur les acteurs
de collaboration (ie user-centric) et ce de la maniegravere la plus simple possible En outre le forma-
lisme logique nous a permis de veacuterifier automatiquement la coheacuterence des politiques notamment
celles lieacutees au partage de ressources Notre systegraveme de controcircle drsquoaccegraves donne aux entreprises le
pouvoir de controcircler de maniegravere abstraite les politiques de partage de ressources deacutefinies agrave lrsquoeacutechelle
des acteurs et ce gracircce agrave des politiques fondeacutees sur un meacutecanisme de gestion du risque qui eacutemane
des requecirctes externes de demande drsquoaccegraves Les politiques baseacutees sur le risque sont combineacutees avec
les politiques de partage Dans notre meacutecanisme de gestion du risque nous nous sommes baseacutes
sur les standards lieacutes au risque (deacutefinis par le NIST) que nous avons aligneacutes avec des paramegravetres
pertinents pour le controcircle drsquoaccegraves dans le contexte RSE Notre gestion dynamique du risque inclut
en effet les paramegravetres suivants lrsquoimportante de chaque ressource collaborative les vulneacuterabiliteacutes
des systegravemes drsquoauthentification utiliseacutes pour authentifier les acteurs au sein drsquoune communauteacute et la
confiance refleacuteteacutee agrave travers le comportement de chaque acteur de collaboration Sur ce dernier aspect
de confiance nous avons proceacutedeacute agrave une eacutevaluation de la confiance numeacuterique agrave travers le cumul de
reacuteputations baseacute sur lrsquohistorique drsquointeractions collaboratives de chaque sujet Enfin nous avons deacute-
veloppeacute ces diffeacuterents modules de seacutecuriteacute orienteacutes pour le controcircle drsquoaccegraves dans les environnements
collaboratifs socioprofessionnels et nous les avons inteacutegreacutes au prototype du RSE OpenPaaS
Mots-cleacutes Seacutecuriteacute Feacutedeacuteration drsquoidentiteacute ABAC Controcircle drsquoaccegraves Deacuteleacutegation Gestion du risque
Confiance numeacuterique
12
Chapitre 1
Introduction geacuteneacuterale
Sommaire
11 Introduction 13
12 Contexte geacuteneacuteral 15
13 La seacutecuriteacute dans un RSE 16
131 Authentification 17
132 Autorisation 18
133 Audit et gouvernance 19
134 Synthegravese 20
14 Reacutesumeacute des contributions de la thegravese 20
141 Conception drsquoarchitecture et gestion des identiteacutes -Authentification- 20
142 Controcircle drsquoaccegraves et supervision -Autorisation et Audit- 22
143 Mise en œuvre 23
15 Reacutesumeacute du sujet de la thegravese 24
16 Organisation de la thegravese 24
Dans cette partie nous allons en premier lieu introduire le contexte geacuteneacuteral des travaux reacuteali-
seacutes dans le cadre de cette thegravese Ensuite nous deacutetaillerons les probleacutematiques de nos travaux de
recherche meneacutes tout au long de cette thegravese
11 Introduction
Cette thegravese porte sur la seacutecuriteacute dans les environnements collaboratifs Nous nous sommes particu-
liegraverement focaliseacutes dans nos travaux sur la gestion des identiteacutes numeacuteriques la gestion des autorisa-
tions et la supervision Les environnements collaboratifs constituent le cadre geacuteneacuteral qui a influenceacute
notre analyse et par conseacutequent nos solutions Crsquoest pourquoi nous commenccedilons par aborder la no-
tion drsquoenvironnement collaboratifs afin de mieux eacutelucider le contexte sur lequel sont fondeacutees notre
probleacutematique de recherche et nos diffeacuterentes contributions
13
Chapitre 1 Introduction geacuteneacuterale
Un environnement collaboratif est principalement un contexte multi-acteurs dans lequel diverses
entiteacutes collaborent pour la reacutealisation drsquoobjectifs communs et convergents Lrsquoideacutee principale drsquoune
collaboration se base sur le partage de tacircches et lrsquoeacutechange drsquoinformations et de ressources entre
diffeacuterents acteurs Ces acteurs peuvent ecirctre issus de multiples domaines de compeacutetences ce qui
nous permet de qualifier drsquoenvironnement heacuteteacuterogegravene un environnement collaboratif
Lrsquoeacutevolution des environnements IT a permis de faciliter la collaboration en banalisant les contraintes
de mobiliteacute et de communication Cela a permis drsquoeacutelargir le peacuterimegravetre de collaboration afin de maxi-
miser le rendement et lrsquoefficaciteacute du travail collaboratif Cependant un travail de collaboration de
bonne qualiteacute exige une bonne gestion au sein de lrsquoenvironnement collaboratif Lrsquoun des piliers de
cette bonne gestion reacuteside dans la capaciteacute et les compeacutetences agrave srsquoadapter aux changements per-
manents des entiteacutes collaboratives Une entiteacute collaborative peut ecirctre active (ie un acteur humain
ou un logiciel) ou bien passive (ie une ressource) Les reacuteseaux sociaux sont lrsquoune des eacutevolutions
les plus reacutecentes et les plus riches des environnements collaboratifs Neacuteanmoins le challenge drsquoune
bonne gestion au sein drsquoun environnement collaboratif est accentueacute quand on rajoute agrave ce dernier le
caractegravere social
Une variante sociale drsquoun environnement collaboratif de travail est appeleacute Reacuteseau social drsquoen-
treprise ou ldquoRSErdquo Un RSE est fondeacute sur les eacutechanges au sein drsquoenvironnements collaboratifs dans
un cadre professionnel La derniegravere deacutecennie a connu une eacutemergence assez importante des plates-
formes deacutedieacutees agrave cette nouvelle dimension des reacuteseaux sociaux et de nombreux reacuteseaux sociaux
drsquoentreprises ont vu le jour Parmi les plus connus on trouve Yammer 1 Socialtext 2 Tibbr 3 eXo 4
OpenPaaS 5 Noodle 6 etc Une revue complegravete se trouve dans [48]
Cette thegravese a eacuteteacute reacutealiseacutee dans le cadre du projet industriel OpenPaaS en collaboration avec la
socieacuteteacute Linagora Eacutediteur de logiciels speacutecialiseacute dans lrsquoOpen source Linagora a inteacutegreacute le marcheacute
des reacuteseaux sociaux drsquoentreprise avec sa plate-forme collaborative ldquoOpenPaaSrdquo et la deacutefinit comme
suit OpenPaaS est une plate-forme complegravete permettant de construire et de deacuteployer des applications
en srsquoappuyant sur des technologies eacuteprouveacutees messagerie collaborative inteacutegration (Enterprise Service
Bus) et Business Process Management (BPM) OpenPaaS est destineacutee aux applications collaboratives
drsquoentreprises deacuteployeacutees dans des Clouds hybrides (priveacute publique) En drsquoautres termes OpenPaaS est
une plate-forme collaborative de type PaaS 7 [120] qui permet agrave plusieurs entreprises de collaborer
dans le cadre drsquoun RSE
Comme le montre la figure 11 une autre particulariteacute des RSEs en geacuteneacuteral et OpenPaaS en par-
ticulier concerne la dimension ubiquitaire de tels environnements [158 135] dans la mesure ougrave
plusieurs peacuteripheacuteriques peuvent ecirctre utiliseacutes en tant que point drsquoaccegraves au RSE Agrave titre drsquoexemple
nous avons les smartphones les tablettes les ordinateurs portables les assistants numeacuteriques per-
1 httpswwwyammercom2 httpwwwsocialtextcom3 httpwwwtibbrcom4 httpwwwexoplatformcomcompanyenresource-center5 httpsresearchlinagoracomdisplayopenpaasOpen+PaaS+Overview6 httpsvialectcom7 Platform-as-a-Service
14
12 Contexte geacuteneacuteral
sonnels (Pocket PC) les ordinateurs de bureau les serveurs les services web etc Par ailleurs et drsquoun
point de vue plus technique OpenPaaS permet agrave plusieurs partenaires drsquoheacuteberger des ressources des
services ainsi que des processus dans une PaaS collaborative
FIGURE 11 ndash Aperccedilu global sur la conception drsquoOpenPaaS et ses diffeacuterents services [1]
Dans la section suivante nous preacutesentons le contexte geacuteneacuteral dans lequel ont eacuteteacute reacutealiseacutes les
travaux de cette thegravese
12 Contexte geacuteneacuteral
Depuis la derniegravere deacutecennie les plates-formes collaboratives socioprofessionnelles ont changeacute le
comportement des entreprises en matiegravere de gestion de la collaboration interentreprises Ce chan-
gement srsquoest montreacute agrave travers une faciliteacute de communication due avant tout aux nouvelles techno-
logies de gestion des ressources et de lrsquoinformation en particulier le Cloud Computing En effet en
plus drsquoavoir porteacute les technologies de lrsquoinformation agrave de tregraves grandes eacutechelles le Cloud-Computing a
permis de promouvoir de nouvelles maniegraveres de collaborer agrave travers la communication et le partage
de services de ressources et drsquoinformations Il est deacutesormais possible de partager des donneacutees entre
des applications deacuteployeacutees dans le Cloud et des bases de connaissances drsquoentreprises [1]
Par exemple on peut citer le partage de ressources au moyen de parties tierces agrave travers des
plate-formes deacutedieacutees comme GitHub 8 Dropbox 9 ou Agora 10 Par ailleurs nous avons eacutegalement le
microblogging qui consiste agrave eacutechanger des informations en instantaneacute et agrave grande eacutechelle agrave travers
des cercles (Google+) ou des Hashtag (Twitter) La principale motivation derriegravere ces innovations
est de simplifier davantage tout obstacle technologique susceptible de ralentir le processus drsquoeacutechange
8 httpwwwgithubcom9 httpwwwdropboxcom
10 httpwwwagora-projectnet
15
Chapitre 1 Introduction geacuteneacuterale
collaboratif de ressources entre des entiteacutes heacuteteacuterogegravenes et distribueacutees
Un RSE est principalement composeacute drsquoorganisations professionnelles Une organisation est lrsquoabs-
traction de tout type drsquoentreprise fondeacutee sur la collaboration entre multiples membres pour des
objectifs communs Une organisation peut eacutegalement faire reacutefeacuterence agrave un domaine reacuteunissant plu-
sieurs entiteacutes interagissant dans un cadre coopeacuteratif eg le domaine universitaire Pour lever toute
ambiguiumlteacute de langage nous geacuteneacuteralisons lrsquoutilisation du terme ldquoentrepriserdquo pour deacutesigner tout type
drsquoorganisation et de domaine
Dans un environnement collaboratif restreint une confiance mutuelle peut ecirctre eacutetablie entre
les partenaires agrave propos de lrsquoeacutechange drsquoinformations les conduisant agrave la formation drsquoun cercle de
confiance commun Ce genre de cercle de confiance est reacutefeacuterenceacute dans la litteacuterature par le terme
feacutedeacuteration [181] Ainsi nous consideacuterons OpenPaaS comme eacutetant un environnement de feacutedeacuteration
En effet lrsquoaspect collaboratif drsquoOpenPaaS repose principalement sur lrsquoideacutee de creacuteer des Communauteacutes
virtuelles pour rassembler diffeacuterentes entreprises Ceci vise agrave faciliter les interactions entre diffeacuterents
acteurs ayant des compeacutetences compleacutementaires en les reacuteunissant autours de projets collaboratifs
communs
Pour reacutesumer nous consideacuterons OpenPaaS RSE comme eacutetant un environnement feacutedeacutereacute distribueacute
dynamique et heacuteteacuterogegravene Ces proprieacuteteacutes sont illustreacutees sur la figure 12 Cette figure deacutecrit le cadre
geacuteneacuteral des communauteacutes dans le RSE OpenPaaS dans lequel plusieurs entreprises collaborent au
sein de la mecircme communauteacute De nouvelles entreprises avec de nouveaux acteurs et ressources
peuvent agrave tout moment rejoindre la communauteacute de collaboration Au niveau de chaque entreprise
des acteurs gegraverent les ressources de lrsquoentreprise pour les eacutechanger avec drsquoautres acteurs appartenant agrave
des entreprises partenaires au sein de la communauteacute en question Ces ressources peuvent changer agrave
tout moment elle peuvent ecirctre partageacutees avec de nouveaux acteurs supprimeacutees modifieacutees etc Drsquoun
point de vue seacutecuriteacute chaque entreprise gegravere agrave sa maniegravere les identiteacutes et les accreacuteditions drsquoaccegraves agrave ses
ressources (IAM ldquoIdentity Access Managementrdquo) Cela met en eacutevidence lrsquoheacuteteacuterogeacuteneacuteiteacute omnipreacutesente
au sein de la communauteacute en matiegravere de gestion de lrsquointeacutegriteacute et de la confidentialiteacute des ressources
collaboratives
Dans la section suivante nous introduisons les concepts fondamentaux lieacutes agrave la gestion de la
seacutecuriteacute des eacutechanges de ressources et drsquoinformations dans les environnements collaboratifs
13 La seacutecuriteacute dans un RSE
La seacutecuriteacute est lrsquoun des aspects majeurs drsquoune bonne gestion au sein drsquoun environnement collabo-
ratif socioprofessionnel Ainsi dans de tels environnements agrave lrsquoimage de OpenPaaS les besoins en
termes de seacutecuriteacute restent classiques agrave savoir la gestion des identiteacutes (Authentication) le controcircle
drsquoaccegraves (Authorization) et la supervision (Audit) Ces services sont reacutefeacuterenceacutes dans la litteacuterature sous
lrsquoacronyme AAA [65 66 134]
16
13 La seacutecuriteacute dans un RSE
ressources
ressourcesressources
EntrepriseY EntrepriseZ
EntrepriseX
Eacutechange de ressourcesservices
IAM
IAMIAM
OpenPaaS RSE
FIGURE 12 ndash Vue globale sur une communauteacute OpenPaaS
131 Authentification
Lrsquoauthentification est souvent le premier volet de la protection de ressources vis-agrave-vis drsquoentiteacutes
ayant une identification numeacuterique Lrsquoauthentification consiste agrave veacuterifier lrsquoauthenticiteacute de lrsquoidentiteacute
drsquoun utilisateur agrave travers des identifiants que ce dernier fournit au systegraveme eg loginmot-de-passe
Dans une proceacutedure drsquoauthentification les identifiants drsquoun utilisateur sont compareacutes avec ceux sto-
ckeacutes dans le systegraveme Si une identiteacute stockeacutee correspond aux identifiants fournis par lrsquoutilisateur ce
dernier sera alors authentifieacute Dans le cas contraire lrsquoacteur ne sera pas authentifieacute Techniquement
plusieurs dispositifs peuvent ecirctre utiliseacutes dans la proceacutedure drsquoauthentification agrave savoir la meacutemoire
de lrsquoutilisateur (Loginmot-de-passe code pin etc) les systegravemes de codage aleacuteatoire (envoi drsquoun
sms sur le teacuteleacutephone portable personnel) ou les proceacutedeacutes biomeacutetriques (empreinte digitale recon-
naissance vocalereacutetinienne etc)
Drsquoautres meacutecanismes drsquoauthentification avec des configurations plus avanceacutees existent comme
OAuth [110] OpenID [162] ou SAML [90] 11 dont certains tregraves adapteacutes aux environnements distri-
bueacutes et feacutedeacutereacutes Ces meacutecanismes (ou protocoles) se basent sur le principe drsquoauthentification unique
Lrsquoauthentification unique (SSO) permet agrave un utilisateur de srsquoauthentifier une seule fois pour acceacuteder
agrave de multiples services distants proteacutegeacutes par le mecircme protocole drsquoauthentification unique utiliseacute (ie
lors de la premiegravere authentification unique de lrsquoutilisateur) Dans un environnement collaboratif
lrsquoauthentification unique peut ecirctre tregraves inteacuteressante En effet nous sommes dans un environnement
distribueacute qui regroupe plusieurs entreprises chacune proteacutegeant ses ressources drsquoune maniegravere indeacute-
pendante
11 Plus de deacutetails sur ces meacutecanismes seront preacutesenteacutes dans le chapitre (cf Eacutetat de lrsquoart)
17
Chapitre 1 Introduction geacuteneacuterale
132 Autorisation
Bien que lrsquoauthentification soit une phase importante pour la protection de ressources numeacute-
riques elle reste insuffisante notamment dans un environnement RSE tel que OpenPaaS En effet
lrsquoauthentification permet (dans un cas optimal 12) de veacuterifier que lrsquoidentiteacute de lrsquoacteur qui reacuteclame
lrsquoaccegraves derriegravere une requecircte est la bonne mais ne garantit pas que cet acteur accegravede seulement aux
ressources qui lui sont autoriseacutees Plus preacuteciseacutement nous sommes dans un environnement multi-
acteurs dans lequel sont partageacutees plusieurs ressources appartenant agrave diffeacuterents acteurs (ou entre-
prises) Par conseacutequent nous avons besoin de lier chaque ressource agrave son proprieacutetaire et eacuteventuelle-
ment ses collaborateurs avec qui il la partage et surtout de srsquoassurer que seuls les acteurs autoriseacutes y
auront accegraves Pour reacutesumer dans un environnement collaboratif social (ie ouvert) toute ressource
partageacutee est par deacutefaut interdite drsquoaccegraves agrave tous les acteurs agrave lrsquoexception de ceux qui ont beacuteneacuteficieacute
drsquoune autorisation drsquoaccegraves deacutefinie par le proprieacutetaire de la ressource en question et veacuterifieacutee par le
systegraveme La proceacutedure drsquoautorisation se charge de cette tacircche de veacuterification de droits drsquoaccegraves En
drsquoautres termes la proceacutedure drsquoautorisation deacutetermine qui a accegraves agrave quoi et comment et ce au moyen
de permissions (ou autorisation) drsquoaccegraves preacutedeacutefinies impliquant principalement le sujet lrsquoobjet et
lrsquoaction
Une autorisation drsquoaccegraves est donc une description drsquoun droit drsquoaccegraves en faveur drsquoun acteur donneacute
sur une ressource donneacutee avec une action preacutecise Cette description est la plus petite uniteacute de lrsquoen-
semble des accords qui reacutegissent les interactions entre diffeacuterents utilisateurs dans un systegraveme col-
laboratif Dans ce contexte un accord est appeleacute une politique qui est baseacutee sur le regroupement
de regravegles de controcircle drsquoaccegraves Cependant une regravegle nrsquoest pas toujours synonyme drsquoautorisation car
une regravegle peut eacutegalement ecirctre deacutefinie pour interdire lrsquoaccegraves agrave un acteur donneacute Par conseacutequent une
politique peut eacutegalement rejeter une requecircte de demande drsquoaccegraves
Dans une communauteacute RSE le principal sceacutenario de consommation (ie drsquoutilisation) drsquoune res-
source est deacuteclencheacute par un acteur au moyen drsquoune requecircte de demande drsquoaccegraves qui sera confronteacutee
par le meacutecanisme drsquoautorisation aux politiques de controcircle drsquoaccegraves enregistreacutees dans le systegraveme Si
les attributs de la requecircte (ie la cible de la requecircte) correspondent agrave ceux drsquoune regravegle drsquoautorisation
du systegraveme la requecircte sera approuveacutee donnant ainsi le droit drsquoaccegraves agrave lrsquoacteur en question sinon la
requecircte sera rejeteacutee Cela signifie par ailleurs que dans le contexte de communauteacute de collaboration
chaque partage de ressource neacutecessite la deacutefinition drsquoun droit drsquoaccegraves preacutecisant lrsquoacteur autoriseacute (le
sujet) agrave y acceacuteder et de quelle maniegravere (lrsquoaction)
Par ailleurs les besoins en matiegravere drsquoautorisation dans un contexte RSE srsquoeacutetendent agrave de nou-
velles formes de collaboration comme crsquoest le cas pour la deacuteleacutegation Une deacuteleacutegation est un transfert
temporaire des droits drsquoaccegraves drsquoun acteur chargeacute de certaines tacircches agrave un autre acteur pour les ac-
complir Dans cette optique on distingue la nature eacutepheacutemegravere drsquoun tel transfert de droits qui doit ecirctre
baseacute sur la notion de temps En outre cette forme drsquoautorisation temporaire est eacutetroitement lieacutee agrave
la confiance Plus preacuteciseacutement pour qursquoun acteur permette agrave un autre drsquoagir pour son compte une
forme de confiance deacutefinie par un lien professionnel ou social est forceacutement preacutesente entre les deux
12 Pas de deacutefaillance du systegraveme de gestion des identiteacutes et de lrsquoauthentification
18
13 La seacutecuriteacute dans un RSE
acteurs En effet dans un cadre professionnel la confiance peut faire reacutefeacuterence agrave plusieurs aspects
collaboratifs tels que les compeacutetences professionnelles la bonne reacuteputation la fiabiliteacute etc Lrsquoaspect
de confiance est traiteacute sous la sphegravere du dernier A des services AAA agrave savoir lrsquoAudit
133 Audit et gouvernance
La confiance professionnelle est monitoreacutee au moyen de la supervision (ou monitoring) du com-
portement des acteurs de collaboration Plus preacuteciseacutement la supervision est un processus de suivi
et drsquoanalyse des traces (ou lrsquohistorique) drsquointeractions de chaque acteur Lrsquohistorique drsquointeraction in-
clut des fichiers logs des messages ou le temps drsquoutilisation de ressources et les reacutesultats drsquoanalyse
peuvent ecirctre exploiteacutes dans diverses domaines notamment dans la seacutecuriteacute dans les eacutetudes finan-
ciegraveres les eacutetudes des tendances sociales Dans cette thegravese nous exploitons lrsquohistorique drsquointeraction
drsquoun acteur agrave des fins de seacutecuriteacute
Drsquoun point de vue seacutecurisation des eacutechanges collaboratifs de ressources nous mettons lrsquoaccent
sur la reacuteputation de chaque acteur afin drsquoeacutetudier ses diffeacuterents changements comportementaux et ce
drsquoune maniegravere dynamique et continue En effet le comportement drsquoun acteur est impreacutevisible dans
un contexte RSE Par exemple un acteur change brusquement drsquoattitude et procegravede agrave de nombreuses
tentatives drsquoaccegraves non-autoriseacutees sur des ressources deacuteployeacutees au sein de sa communauteacute En outre la
supervision peut ecirctre favorable aux entreprises afin de reacuteviser des autorisations drsquoaccegraves trop statiques
ou eacuteventuellement obsolegravetes
Lrsquoexploitation de la supervision du comportement des acteurs au profit des entreprises peut ecirctre
tregraves inteacuteressante car chaque entreprise sera ainsi en mesure drsquoadapter ses politiques de controcircle drsquoac-
cegraves par rapport aux eacutevolutions des reacuteputations des sujets externes 13 De la sorte chaque entreprise
peut deacuteleacuteguer la deacutefinition des autorisations simples (ie sujetobjetaction) agrave ses acteurs et avoir
par dessus un controcircle via des politiques plus abstraites Cela permettra de faciliter les eacutechanges
collaboratifs en simplifiant la proceacutedure de partage de ressources Cela dit consideacuterer la confiance
comme unique paramegravetre peut srsquoaveacuterer insuffisant pour lrsquoentreprise afin de controcircler les autorisations
de partage de ressources drsquoune maniegravere agrave la fois efficace et abstraite
Imaginons qursquoun acteur fasse une erreur dans la deacutefinition drsquoune autorisation drsquoaccegraves et se trompe
par exemple de sujet beacuteneacuteficiaire Ainsi pour lrsquoentreprise (proprieacutetaire de la ressource) lrsquoimpact drsquoun
accegraves non-autoriseacute sur lrsquointeacutegriteacute et la confidentialiteacute de la ressource va deacutependre de lrsquoimportance
(sensibiliteacute) de cette derniegravere Par conseacutequent agrave lrsquoimage de ce dernier paramegravetre de sensibiliteacute de la
ressource il est possible que drsquoautres paramegravetres soient aussi importants Pour une telle hypothegravese il
est neacutecessaire drsquoidentifier les paramegravetres les plus pertinents pour le controcircle drsquoaccegraves dans le contexte
des RSEs et les combiner par la suite Un meacutecanisme de gestion du risque [151] drsquoune requecircte de
demande drsquoaccegraves peut ecirctre un bon support pour mettre en œuvre (ensemble) les paramegravetres recher-
cheacutes Le risque peut ecirctre consideacutereacute comme eacutetant la probabiliteacute drsquoune menace et son impact sur le
systegraveme
13 Appartenant agrave drsquoautres entreprises de la communauteacute dont certaines peuvent ecirctre des concurrentes ie conflitdrsquointeacuterecircts
19
Chapitre 1 Introduction geacuteneacuterale
134 Synthegravese
En reacutesumeacute nous avons travailleacute dans le cadre de cette thegravese sur la modeacutelisation et la reacutealisa-
tion drsquoun systegraveme de seacutecuriteacute destineacute aux plate-formes collaboratives sous forme de reacuteseaux sociaux
drsquoentreprise Ce systegraveme vise principalement agrave controcircler lrsquoaccegraves drsquoune maniegravere dynamique aux res-
sources collaboratives vis-agrave-vis des identiteacutes numeacuteriques Par conseacutequent notre systegraveme est fondeacute
sur un module de gestion interopeacuterable et feacutedeacutereacutee des identiteacutes numeacuteriques un module de controcircle
drsquoaccegraves flexible et enfin un module de monitoring qui permet drsquoeacutevaluer la confiance numeacuterique des
entiteacutes actives et ce afin de prendre en compte lrsquoaspect dynamique du module de controcircle drsquoaccegraves
Dans la section suivante nous allons reacutesumer nos solutions proposeacutees par rapport au contexte et
objectifs de cette thegravese
14 Reacutesumeacute des contributions de la thegravese
Dans cette section nous donnerons un aperccedilu sur les diffeacuterentes contributions proposeacutees dans le
cadre de cette thegravese Les probleacutematiques ayant conduit agrave ces contributions seront deacutetailleacutees dans le
chapitre suivant (cf Probleacutematique et motivations) Nos contributions couvrent les trois aspects
Authentification Autorisation et Audit Pour la partie Authentification nous nous sommes baseacutes sur
une architecture de collaboration adapteacutee aux communauteacutes RSEs pour la conception drsquoune feacutedeacutera-
tion interopeacuterable en matiegravere drsquoauthentification interentreprises Concernant la partie Autorisation
nous avons proposeacute un meacutecanisme complet (conception et mise en œuvre) de controcircle drsquoaccegraves Enfin
la partie Audit inclut un meacutecanisme de gestion du risque baseacute principalement sur une eacutevaluation en
temps reacuteel de la confiance et la reacuteputation des acteurs collaboratifs
141 Conception drsquoarchitecture et gestion des identiteacutes -Authentification-
La collaboration dans OpenPaaS est fondeacutee sur la notion de communauteacute qui consiste en un
cercle regroupant diffeacuterents types de ressources ainsi que des acteurs et des entreprises de multiples
compeacutetences et disciplines En effet OpenPaaS est lrsquoensemble qui regroupe lrsquointeacutegraliteacute des commu-
nauteacutes de collaboration En outre une ressource un acteur ou une entreprise peuvent faire partie
de plusieurs communauteacutes en mecircme temps Cependant drsquoun point de vue seacutecuriteacute nous consideacuterons
que chaque communauteacute est indeacutependante en matiegravere de gestion des accreacuteditations des identiteacutes
des acteurs vis-agrave-vis des ressources collaboratives Pour la gestion drsquoidentiteacute nous avons tireacute profit
de la confiance qui lie les entreprises dans le cadre collaboratif et professionnel en lrsquooccurrence la
communauteacute Cette confiance se traduit par une deacuterogation (dispense) dans les proceacutedures drsquoau-
thentification (souvent tregraves strictes) agrave lrsquoeacutegard des identiteacutes drsquoacteurs qui appartiennent aux autres
entreprises de la communauteacute Cette notion de confiance interentreprises est appeleacutee feacutedeacuteration
Une gestion feacutedeacutereacutee drsquoidentiteacutes est synonyme drsquoune confiance mutuelle qui srsquoinstalle entre les en-
treprises concernant lrsquoidentification des acteurs Par exemple le service Eduroam ldquoeducation roamingrdquo
dans le domaine acadeacutemique permet agrave un eacutetudiant de lrsquoUniversiteacute de Lorraine drsquoavoir accegraves agrave internet
dans drsquoautres universiteacutes (conventionneacutees) en srsquoidentifiant au moyen de son identiteacute de lrsquoUniversiteacute de
20
14 Reacutesumeacute des contributions de la thegravese
Lorraine Cela signifie que les autres universiteacutes partenaires de lrsquoUniversiteacute de Lorraine font confiance
agrave cette derniegravere concernant lrsquoidentification de son eacutetudiant Pour reacutesumer nous consideacuterons chaque
communauteacute dans OpenPaaS comme une feacutedeacuteration Neacuteanmoins faute drsquoincompatibiliteacute technique
les partenaires dans un cadre feacutedeacutereacute sont obligeacutes drsquoutiliser le mecircme protocole de gestion drsquoiden-
titeacute [2] Par exemple un jeton drsquoauthentification issu du protocole OpenID ne peut pas ecirctre veacuterifieacute
par un autre protocole drsquoauthentification comme OAuth 14 Cependant dans notre contexte les com-
munauteacutes sont heacuteteacuterogegravenes ce qui signifie qursquoelles nrsquoutilisent pas forceacutement les mecircmes protocoles
pour la gestion de lrsquoauthentification Ainsi notre premiegravere contribution srsquoest focaliseacutee sur la gestion
de cette heacuteteacuterogeacuteneacuteiteacute en proposant un meacutecanisme drsquoauthentification interopeacuterable qui permettra agrave
chaque entreprise de garder ses preacutefeacuterences vis-agrave-vis du protocole drsquoauthentification utiliseacute pour la
gestion des identiteacutes numeacuteriques collaboratives de ses acteurs Pour cela nous nous sommes baseacutes
sur un outil appeleacute ldquoLemonLDAPrdquo que nous avons adapteacute agrave notre architecture afin qursquoil puisse couvrir
cette heacuteteacuterogeacuteneacuteiteacute Cette contribution a eacuteteacute publieacutee dans la confeacuterence internationale I-ESA 14 [39]
Par ailleurs en matiegravere de gestion des identiteacutes et des accreacuteditations notre conception des feacute-
deacuterations tient compte des trois aspects suivants Premiegraverement la collaboration interopeacuterable sur le
long terme tient compte de lrsquoheacuteteacuterogeacuteneacuteiteacute omnipreacutesente au sein de chaque feacutedeacuteration Cela neacutecessite
drsquoun cocircteacute drsquoavoir au niveau de chaque feacutedeacuteration un service centraliseacute de gestion des ressources et
des autorisations et requiegravere drsquoun autre cocircteacute un faible couplage entre les entreprises et le RSE Enfin
la collaboration temporaire de courte dureacutee met lrsquoaccent sur la faciliteacute dans la gestion (inteacutegration
temporaire etou suppression) de nouveaux acteurs collaboratifs dans une communauteacute
Dans le contexte OpenPaaS nous consideacuterons ces trois proprieacuteteacutes comme eacutetant des besoins im-
portants sur le plan architectural Ils nous permettent de faire face agrave plusieurs enjeux tels que le
passage agrave lrsquoeacutechelle (fluiditeacute drsquoeacutechanges collaboratifs) lrsquointeropeacuterabiliteacute et la seacutecurisation de donneacutees
Pour reacutepondre agrave ces besoins nous nous sommes baseacutes sur une conception hybride des feacutedeacutera-
tions ie un compromis entre une configuration centraliseacutee et une configuration deacutecentraliseacutee drsquoar-
chitecture de collaboration Lrsquoideacutee est de centraliser la gestion des identiteacutes et des politiques et de
deacutecentraliser lrsquoheacutebergement des ressources physiques ainsi que la gestion des regravegles et politiques
drsquoautorisation drsquoaccegraves qui les reacutegissent au niveau des entreprises proprieacutetaires et leurs acteurs Ainsi
le deacuteploiement des ressources se fait au moyen drsquoune proceacutedure de virtualisation et lrsquoaccegraves sera
au niveau des serveurs de lrsquoentreprise proprieacutetaire La gestion centraliseacutee des identiteacutes a pour but de
rendre le controcircle drsquoaccegraves interopeacuterable vis-agrave-vis des diffeacuterentes entreprises faisant partie drsquoune mecircme
feacutedeacuteration de collaboration Cela permet drsquohomogeacuteneacuteiser la seacutemantique des attributs qui sont eacuteven-
tuellement initialement diffeacuterents au niveau de chaque entreprise et ce en accord avec le contexte de
la communauteacute en question Ainsi les attributs drsquoun utilisateur appartenant agrave une entreprise donneacutee
peuvent ecirctre facilement confronteacutes aux politiques des autres entreprises partenaires Quant agrave la vir-
tualisation et la deacutecentralisation des ressources collaboratives elles permettent agrave chaque entreprise
de garder le controcircle sur lrsquointeacutegriteacute et la confidentialiteacute de ses ressources collaboratives
14 Cet aspect sera davantage deacutetailleacute dans le chapitre cf Probleacutematique et motivations
21
Chapitre 1 Introduction geacuteneacuterale
142 Controcircle drsquoaccegraves et supervision -Autorisation et Audit-
Agrave la diffeacuterence des modegraveles classiques de controcircle drsquoaccegraves tels que ceux baseacutes sur lrsquoidentiteacute unique
de lrsquoacteur ou sur son rocircle le notre est baseacute sur un ensemble drsquoattributs qui permettent de deacutefinir le
profil de lrsquoacteur Ce choix nous a permis drsquoavoir une meilleure flexibiliteacute pour la deacutefinition des regravegles
de controcircle drsquoaccegraves
Dans notre modegravele de controcircle drsquoaccegraves nous avons deux niveaux de politiques agrave savoir le niveau
acteur (user-centric) et le niveau entreprise La politique de niveau acteur contient des regravegles deacutefinies
par un acteur pour chaque partage de ressource collaborative avec un autre acteur collaborateur La
regravegle deacutefinie par un acteur prend une forme simple impliquant le sujet (ie le collaborateur) la
ressource agrave partager et lrsquoaction autoriseacutee Agrave lrsquoinverse la politique eacutetablie au niveau de lrsquoentreprise est
plus geacuteneacuterique ie abstraite Ces politiques abstraites visent agrave controcircler les politiques de partage de
ressources deacutefinies par des acteurs Une politique drsquoentreprise se focalise davantage sur le contexte
de collaboration que sur chaque instance de partage de ressource Par conseacutequent pour chaque
requecircte de demande drsquoaccegraves les politiques des acteurs et des entreprises (impliquant le sujet de la
requecircte en question) sont combineacutees afin de prendre une deacutecision finale drsquoapprobation ou de rejet
drsquoune demande drsquoaccegraves Cette configuration du meacutecanisme de controcircle drsquoaccegraves permet drsquoun cocircteacute de
simplifier et drsquoacceacuteleacuterer la collaboration gracircce aux politiques acteurs et drsquoun autre cocircteacute de preacuteserver
lrsquoautonomie des entreprises en leur permettant de controcircler les politiques deacutefinies par leurs acteurs
Dans un RSE en geacuteneacuteral la plupart des acteurs collaboratifs sont des utilisateurs humains Un
utilisateur humain peut se tromper et par conseacutequent mal deacutefinir une regravegle de controcircle drsquoaccegraves
Cela peut ecirctre ducirc agrave sa non expertise en matiegravere de controcircle drsquoaccegraves ou tout simplement agrave un oubli
(voire mecircme une faute de frappe) Par conseacutequent il est important de veacuterifier la coheacuterence de toute
regravegle composant une politique deacutefinie au niveau de lrsquoacteur avant de la combiner avec la politique
drsquoentreprise En effet une eacuteventuelle incoheacuterence dans les politiques peut mener le systegraveme agrave des
eacutetats drsquoinseacutecuriteacute dus agrave des erreurs de deacutecisions Crsquoest pourquoi nous avons conccedilu notre modegravele de
controcircle drsquoaccegraves agrave base drsquoun langage formel baseacute sur la logique temporelle du premier ordre Event-
Calculus avec son raisonneur Dec-Reasoner 15 comme moteur drsquoeacutevaluation et veacuterification automatique
des politiques de controcircle drsquoaccegraves En outre lrsquoaspect temporelle de la logique Event-Calculus nous a
permis de modeacuteliser les permissions temporaires ie les deacuteleacutegations de droits drsquoaccegraves aux ressources
collaboratives
Le contexte de lrsquoenvironnement de collaboration est consideacutereacute sous le volet du controcircle drsquoaccegraves
par le biais de lrsquoeacutevaluation du risque des requecirctes Ce dernier inclut la menace encourue agrave travers
la requecircte du sujet lrsquoimpact provoqueacute dans le cas ougrave la ressource en question est compromise et la
vulneacuterabiliteacute du meacutecanisme drsquoauthentification utiliseacute pour certifier lrsquoidentiteacute du demandeur drsquoaccegraves
Le premier facteur concerne la menace que repreacutesente le sujet drsquoune requecircte de demande drsquoaccegraves
Cette menace est mesureacutee sur la base drsquoune estimation de la confiance numeacuterique du sujet agrave travers
la supervision de son comportement dans sa communauteacute Le deuxiegraveme facteur se focalise sur lrsquoim-
pact drsquoun eacuteventuel accegraves non autoriseacute sur la ressource demandeacutee Lrsquoimpact est mesureacute par rapport agrave
15 ht tp decreasonersource f or genet
22
14 Reacutesumeacute des contributions de la thegravese
lrsquoimportance de la ressource agrave travers le nombre drsquoacteurs impliqueacutes dans la consommation etou la
proprieacuteteacute de la ressource Le dernier facteur pour lrsquoeacutevaluation du risque est relatif agrave la vulneacuterabiliteacute
de lrsquoenvironnement collaboratif La vulneacuterabiliteacute consiste en un indice de fiabiliteacute de lrsquoauthenticiteacute
des identiteacutes des sujets issus de leurs entreprises respectives En drsquoautres termes la vulneacuterabiliteacute drsquoun
environnement est implicitement relieacutee au meacutecanisme drsquoauthentification Par exemple lrsquoauthenticiteacute
drsquoune identiteacute geacutereacutee avec un meacutecanisme Pin est moins fiable qursquoune validation en deux eacutetapes 16
Sur la base de cette reacuteflexion et ces paramegravetres nous avons proposeacute notre meacutetrique drsquoeacutevaluation du
risque des requecirctes dans la feacutedeacuteration collaborative
Par ailleurs notre modegravele de controcircle drsquoaccegraves tient compte du contexte drsquoune maniegravere plus ap-
profondie et ce par le biais drsquoune approche eacuteveacutenementielle Nos regravegles sont deacutefinies sur la base du
paradigme ECA Event-Condition-Action [91] Cela nous a permis de modeacuteliser les diffeacuterents chan-
gements dynamiques en temps reacuteel des eacutetats des objets au sein du contexte Ces changements sont
dus aux flux continus drsquoeacuteveacutenements agrave travers le temps Ces changements sont dans notre modegravele
directement impliqueacutes dans les deacutecisions de controcircle drsquoaccegraves comme crsquoest le cas pour les deacuteleacutegations
Ces diffeacuterentes contributions ont eacuteteacute publieacutees dans plusieurs confeacuterences internationales [199
40 38]
143 Mise en œuvre
Le prototype de gestion des identiteacutes numeacuteriques et leurs autorisations pour la plate-forme colla-
borative sous forme de reacuteseau social drsquoentreprise agrave eacuteteacute valideacute et mis en œuvre dans le cadre du projet
OpenPaaS Les principaux composants logiciels sont mis en œuvre en tant que services web RESTfull
pour srsquoadapter aux plates-formes baseacutees sur des architectures Cloud Le premier composant agrave savoir
lrsquooutil de gestion des identiteacutes a eacuteteacute mis en œuvre sur la base de lrsquooutil LemonLDAP NG
DEC Raisonneur
Controcircle daccegraves
Confiance
Authentification
RegraveglesPolitiques
FIGURE 13 ndash Prototype vue globale
Le second composant concerne la gestion du controcircle drsquoaccegraves Ce dernier a eacuteteacute mis en œuvre
16 ht tp enwikipediaor gwikiTwominus step_veri f icat ion
23
Chapitre 1 Introduction geacuteneacuterale
en tant que service web agrave base du raisonneur Event-Calculus ldquoDec-reasonerrdquo utilisant la base de
donneacutees MongoDB pour le stockage des regravegles de controcircle drsquoaccegraves Enfin le dernier composant de
supervision et drsquoeacutevaluation de confiance est aussi mis en œuvre sous forme de service web au niveau
de chaque communauteacute Ce composant se base sur les informations historiques des utilisateurs drsquoune
communauteacute pour calculer et mettre agrave jour les valeurs de confiance numeacuterique de chaque acteur Ces
informations historiques sont stockeacutees sous forme de fichiers logs au niveau de la base de donneacutees
ougrave sont stockeacutes les attributs des identiteacutes des acteurs internes de la communauteacute
15 Reacutesumeacute du sujet de la thegravese
Cette thegravese porte sur la seacutecuriteacute des eacutechanges collaboratifs au sein drsquoun reacuteseau social drsquoentre-
prise ldquoRSErdquo Un reacuteseau social drsquoentreprise est un environnement collaboratif dans lequel le principal
objectif est la facilitation drsquoeacutechanges drsquoinformations et de ressources entre des organisations pro-
fessionnelles Par conseacutequent lrsquoenvironnement RSE introduit plusieurs proprieacuteteacutes que nous devons
prendre en consideacuteration dans la deacutefinition de notre probleacutematique de conception drsquoun systegraveme de
seacutecuriteacute drsquoeacutechanges collaboratifs Ces particulariteacutes du RSE concernent notamment
bull la faciliteacute et lrsquoagiliteacute de partage de ressources
bull lrsquoenjeu tregraves important concernant la confidentialiteacute des ressources entre des entreprises concur-
rentes (ie conflit drsquointeacuterecircts)
bull la dynamiciteacute des proprieacuteteacutes des entiteacutes de collaboration (ie acteurs et ressources)
bull lrsquoheacuteteacuterogeacuteneacuteiteacute des diffeacuterentes entreprises en matiegravere drsquoadministration
bull la sous traitance des activiteacutes neacutecessitant une continuiteacute drsquoexeacutecution dans le temps (ie deacuteleacute-
gation)
Nos objectifs de seacutecuriteacute se focalisent principalement sur la gestion des autorisations drsquoaccegraves
Cette gestion requiert la gestion des identiteacutes numeacuteriques (qui seront par la suite accreacutediteacutees) et
srsquoeacutetend par ailleurs sur une supervision des comportements des entiteacutes de collaboration au sein
des environnements de collaboration Ces objectifs sont contextualiseacutes dans le projet OpenPaaS qui
consiste agrave mettre en œuvre un RSE sur la base drsquoune plateforme PaaS collaborative Par conseacutequent
nous devons inteacutegrer nos solutions de seacutecuriteacute dans la plateforme OpenPaaS sous forme de services
web 17
16 Organisation de la thegravese
Dans cette thegravese nous mettons en œuvre un meacutecanisme de seacutecuriteacute drsquoeacutechanges collaboratifs dans
les environnements collaboratifs de type reacuteseaux sociaux drsquoentreprises RSEs Nous avons deacuteveloppeacute
un meacutecanisme de controcircle drsquoaccegraves ainsi qursquoun meacutecanisme drsquoauthentification et feacutedeacuteration drsquoidentiteacutes
numeacuteriques favorables aux contextes RSE
17 APIs
24
16 Organisation de la thegravese
Outre la conception drsquoune architecture drsquoauthentification feacutedeacutereacutee et interopeacuterable dans un envi-
ronnement ougrave lrsquoheacuteteacuterogeacuteneacuteiteacute en matiegravere de meacutecanismes drsquoauthentification est omnipreacutesente lrsquoorigi-
naliteacute de cette thegravese est le deacuteveloppement drsquoun meacutecanisme de controcircle drsquoaccegraves flexible et dynamique
baseacute sur un formalisme logique 18 qui respecte lrsquoautonomie des entreprises 19 et qui est capable de
geacuterer les deacuteleacutegations 20
Ce meacutemoire est ainsi organiseacute
bull Dans le chapitre 1 nous preacutesentons le contexte geacuteneacuteral dans lequel les travaux de cette thegravese
ont eacuteteacute reacutealiseacutes agrave savoir les environnements collaboratifs de type reacuteseaux sociaux drsquoentre-
prise Nous commenccedilons drsquoabord par une introduction sur les environnements collaboratifs
en geacuteneacuteral et les reacuteseaux sociaux drsquoentreprise en particulier Ensuite nous abordons la seacutecuriteacute
dans ces environnements et ce sur trois aspects agrave savoir lrsquoauthentification lrsquoautorisation et
le monitoring Puis nous preacutesentons un reacutesumeacute des contributions de cette thegravese Enfin nous
preacutesentons un reacutesumeacute du sujet de cette thegravese intituleacutee La seacutecuriteacute des ressources collaboratives
dans les reacuteseaux sociaux drsquoentreprise
bull Dans le chapitre 2 nous deacutetaillons la probleacutematique de cette thegravese Mais drsquoabord nous com-
menccedilons par donner des exemples de motivations inspireacutes de cas reacuteels de collaboration avec
des sceacutenarios qui mettent en eacutevidence certaines failles de seacutecuriteacute dans le contexte RSE
Concernant la probleacutematique nous clarifions les challenges de nos objectifs de seacutecuriteacute (cf
reacutesumeacute du sujet de la thegravese) par rapport au contexte RSE et ce pour chacun des trois aspects
de seacutecuriteacute (authentification autorisation et audit) preacutesenteacutes dans le chapitre 1
bull Dans le chapitre 3 nous allons preacutesenter un eacutetat de lrsquoart portant sur des travaux ayant eacuteteacute
reacutealiseacutes dans des contextes similaires au notre agrave savoir la gestion des identiteacutes numeacuteriques
et des autorisations de controcircle drsquoaccegraves dans les environnements collaboratifs Nous preacutesen-
terons par ailleurs des concepts que nous avons utiliseacutes dans lrsquoeacutelaboration de nos solutions
bull Dans le chapitre 4 nous deacutetaillons nos contributions sur la gestion de lrsquoauthentification En
premier lieu nous preacutesentons les trois types de collaboration dans les environnements col-
laboratifs distribueacutes qui nous ont inspireacutes pour la conception de notre architecture de colla-
boration sur lrsquoaspect de gestion et administration des identiteacutes numeacuteriques et des ressources
collaboratives En second lieu nous abordons lrsquoaspect de feacutedeacuteration des identiteacutes et la gestion
de lrsquoauthentification dans un environnement heacuteteacuterogegravene
bull Dans le chapitre 5 nous abordons la gestion du controcircle drsquoaccegraves aux ressources partageacutees au
sein des communauteacutes de collaboration RSE Cette partie englobe une repreacutesentation abs-
traite et une repreacutesentation formelle du modegravele de controcircle drsquoaccegraves En outre nous abordons
les regravegles de controcircle drsquoaccegraves temporaires ie les deacuteleacutegations
bull Dans le chapitre 6 nous allons aborder lrsquoeacutevaluation du risque drsquoune requecircte de demande
drsquoaccegraves Nous rappelons briegravevement en premier lieu le contexte et la motivation qui nous ont
orienteacute vers une conception drsquoun modegravele de controcircle drsquoaccegraves dynamique baseacute sur la gestion du
18 favorable agrave la veacuterification automatique des politiques de controcircle drsquoaccegraves19 en matiegravere de seacutecuriteacute de leurs ressources collaboratives20 permissions temporaires
25
Chapitre 1 Introduction geacuteneacuterale
risque Ensuite nous parlons du principe drsquoalignement des concepts standards de gestion du
risque avec ceux du controcircle drsquoaccegraves et les environnements collaboratifs RSE Nous finirons
avec une eacutetude expeacuterimentale qui illustre lrsquoapport du meacutecanisme de gestion du risque en
matiegravere de deacutecision de controcircle drsquoaccegraves
bull Par rapport agrave nos objectifs de seacutecuriteacute 21 le chapitre 7 srsquoinscrit dans le cadre du monitoring
ie la supervision des comportements des identiteacutes numeacuterique Dans ce chapitre nous allons
deacutetailler notre approche dynamique drsquoeacutevaluation de la reacuteputation et la confiance numeacuterique
des sujets de collaboration au sein des communauteacutes RSE En premier lieu nous allons in-
troduire le contexte avec les deacutefinitions permettant drsquoeacutelucider certaines notions et termes
utiliseacutes dans le cadre de ce chapitre Ensuite nous preacutesenterons nos algorithmes drsquoeacutevaluation
de la reacuteputation et de la confiance Avant de conclure nous illustrons lrsquoefficaciteacute de nos pro-
ceacutedures drsquoeacutevaluation de la reacuteputation et de la confiance agrave travers une eacutetude expeacuterimentale
dans laquelle nous observons lrsquoeacutevolution de la reacuteputation et de la confiance par rapport aux
comportements de sujets sur une succession de sessions collaboratives dans une communauteacute
de collaboration
bull Dans le chapitre 8 nous preacutesentons les diffeacuterentes APIs que nous avons deacuteveloppeacutees et inteacute-
greacutees dans le cadre de la plate-forme OpenPaaS RSE Il srsquoagit de trois composants proposeacutes
sous forme de service web pour la gestion de lrsquoauthentification de lrsquoautorisation et du moni-
toring Bien eacutevidemment lrsquoimplantation de ces trois services est inteacutegralement baseacutee sur les
concepts de seacutecuriteacute preacutesenteacutes dans les chapitres preacuteceacutedents
bull Enfin dans le chapitre 9 nous preacutesentons nos conclusions ainsi que quelques perspectives par
rapport aux problegravemes que nous avons traiteacutes
21 Authentification autorisation et monitoring
26
Chapitre 2
Probleacutematique et motivations
Sommaire
21 Introduction 27
22 Exemple de motivation 28
23 Gestion des ressources et identiteacutes collaboratives 31
231 Types de collaboration dans les environnements collaboratifs 31
232 Gestion de lrsquoauthentification 34
24 Controcircle drsquoaccegraves 35
25 Supervision et confiance numeacuterique 38
251 Gestion du risque des requecirctes de demande drsquoaccegraves 39
26 Synthegravese 39
27 Conclusion 40
21 Introduction
De nos jours les reacuteseaux sociaux en ligne (ldquoOnline Social Networks OSNrdquo) connaissent une utili-
sation importante agrave lrsquoimage de Facebook Twitter QQ Youtube etc Par conseacutequent de nombreuses
recherches se sont focaliseacutees sur ce nouveau cadre conceptuel drsquoenvironnements collaboratifs dont
une bonne partie sur lrsquoaspect seacutecuriteacute la vie priveacutee et le controcircle drsquoaccegraves [49 69 20 50 177 180
62 31 175] En effet le concept drsquoun reacuteseau social consiste principalement en une plateforme qui
fournit des communauteacutes virtuelles pour les gens srsquointeacuteressant agrave un sujet particulier [74 150] ou
juste pour ecirctre connecteacutes ensemble afin drsquoeacutechanger des informations ou des fichiers multimeacutedia En
revanche de nouveaux enjeux ont attireacute lrsquoattention degraves que les professionnels se sont inteacuteresseacutes agrave
cette nouvelle tendance de collaboration agrave savoir les reacuteseaux sociaux drsquoentreprise ldquoRSErdquo
Un reacuteseau social drsquoentreprise est la variante sociale des environnements collaboratifs qui met
lrsquoaccent sur la faciliteacute drsquoeacutechange drsquoinformations et de services et ce au moyen de plateformes de
reacuteseautage social doteacutees de technologies favorisant la communication et le partage En effet agrave lrsquoimage
de lrsquointernationalisation des eacutequipes de collaboration un RSE permet avant tout drsquoeacutelargir le champ
27
Chapitre 2 Probleacutematique et motivations
Politiques
ressource
Base de politiques
Universiteacute
Communauteacute
Entreprise
Partage
FIGURE 21 ndash Community access control global view
de collaboration et de compeacutetences En outre un RSE permet drsquoeacuteviter les obstacles drsquoadministration
classique 22 qui ralentissent les eacutechanges drsquoinformations et de ressources entre des employeacutes issus de
diverses domaines et diffeacuterentes entreprises
Cette variante professionnelle des reacuteseaux sociaux agrave savoir le RSE preacutesente de nouveaux enjeux
notamment en matiegravere de seacutecurisation des ressources partageacutees vis-agrave-vis drsquoentiteacutes collaboratives ex-
ternes Par exemple nous avons les enjeux eacuteconomiques et concurrentiels qui requiegraverent beaucoup
de vigilance par rapport agrave la confidentialiteacute des informations et des ressources partageacutees
Dans ce qui suit nous allons eacutetudier la probleacutematique lieacutee agrave la seacutecurisation des eacutechanges colla-
boratifs dans un contexte RSE Nous allons en premier lieu aborder lrsquoaspect de conception drsquoarchi-
tecture Nous enchainerons avec la gestion des identiteacutes et de lrsquoauthentification car elle constitue
la premiegravere eacutetape de tout processus de protections de ressources (ie service AAA) Nous allons en-
suite nous tourner vers lrsquoaspect controcircle drsquoaccegraves et ce dans le but drsquoanalyser les besoins des RSEs en
matiegravere de gestion des accreacuteditations drsquoidentiteacutes numeacuteriques issues de diffeacuterentes entreprises Enfin
nous eacutetudierons les besoins pour un meacutecanisme de controcircle drsquoaccegraves lui permettront de srsquoadapter au
contexte RSE et ce dans le cadre de la supervision numeacuterique qui inclut la gestion de la confiance
et du risque Mais drsquoabord nous allons preacutesenter une eacutetude de cas pratique illustrant diffeacuterents sceacute-
narios ayant motiveacutes les challenges abordeacutes dans nos travaux de recherche
22 Exemple de motivation
Comme exemple de motivation nous avons consideacutereacute une communauteacute formeacutee en premier lieu
drsquoentreprise de deacuteveloppement de logiciels informatiques et drsquoune universiteacute La figure 21 donne
une vue globale sur un sceacutenario typique de collaboration socioprofessionnelle dans lequel un acteur
de la socieacuteteacute partage un document (eg description drsquoune offre de stage) avec une eacutetudiante de
lrsquouniversiteacute La ressource agrave partager est heacutebergeacutee dans les serveurs de lrsquoentreprise Nous justifierons
22 Proceacutedures bureaucratiques telles que le Deacutepocirct drsquoun dossier la validation par le responsable le retour etc
28
22 Exemple de motivation
RessourceUniversiteacute
Communauteacute
Enterprise
CAS
OpenID
CAS
FIGURE 22 ndash Authentification heacuteteacuterogegravene dans une communauteacute
ce choix plus tard quand nous aborderons lrsquoaspect de conception de lrsquoarchitecture de collaboration
pour OpenPaaS
En premier lieu nous tenons agrave eacutelucider agrave travers un exemple le besoin non fonctionnel concernant
lrsquointeropeacuterabiliteacute en matiegravere de gestion drsquoidentiteacute Comme le montre la figure 22 lrsquoentreprise de
James utilise le meacutecanisme drsquoauthentification OpenID Lrsquouniversiteacute de Jessy utilise un gestionnaire
drsquoidentiteacute CAS Il est impeacuteratif que lrsquoidentiteacute de Jessy soit veacuterifieacutee et valideacutee aupregraves du meacutecanisme
drsquoauthentification de lrsquoentreprise de James afin que les deux acteurs puissent collaborer ensemble
Supposons maintenant que la phase drsquoauthentification soit accomplie avec succegraves deacuteclenchant
ainsi la phase de veacuterification de privilegraveges pour ce qui concerne lrsquoidentiteacute de Jessy Cependant dans le
domaine universitaire de Jessy le terme ldquograderdquo est utiliseacute pour faire reacutefeacuterence au statut de Jessy dans
son universiteacute tandis que dans lrsquoentreprise de James le terme utiliseacute pour faire reacutefeacuterence au statut
est le ldquorocirclerdquo La question qui se pose dans cette situation est comment lrsquoentreprise de James va-t-elle
consideacuterer le statut de Jessy pour lui attribuer une permission drsquoaccegraves existante Agrave travers cet exemple
nous essayons de mettre en eacutevidence lrsquoheacuteteacuterogeacuteneacuteiteacute des communauteacutes de collaboration dans Open-
PaaS En geacuteneacuteral le terme heacuteteacuterogeacuteneacuteiteacute est suivi par le terme ldquointeropeacuterabiliteacuterdquo qui cherche agrave pallier
les problegravemes provoqueacutes par lrsquoheacuteteacuterogeacuteneacuteiteacute
Pour illustrer davantage nos motivations cette fois sous lrsquoangle des besoins fonctionnels nous
enrichissons la premiegravere communauteacute avec de nouvelles entiteacutes (figure 23) en lrsquooccurrence une
entreprise de fourniture de produits alimentaires ainsi qursquoune agence de voyage Lrsquoentreprise de
29
Chapitre 2 Probleacutematique et motivations
communauteacute
ressources
ressources
ressources
Universiteacute
RestaurantJames
Bob
Jessy
Entreprise
Agence de voyage
Alice
ressources
FIGURE 23 ndash Architecture de collaboration vue drsquoensemble
fournitures alimentaires se charge de lrsquoapprovisionnement de produits alimentaires (eg fruits et
leacutegumes) pour les entreprises de la communauteacute avec des brochures tarifaires et politiques drsquoeacutevolu-
tion de prix qui diffegraverent en fonction de chaque entreprise partenaire Lrsquoagence de voyage se charge
de geacuterer les deacuteplacements du personnel des entreprises partenaires (voyage et seacutejour) et de proposer
eacutevidemment les prix les plus inteacuteressants Lrsquoacteur Bob repreacutesente lrsquoentreprise drsquoapprovisionnement
alimentaire et lrsquoactrice Alice repreacutesente lrsquoentreprise de gestion des voyages Ainsi au sein de la com-
munauteacute creacuteeacutee par James ces diffeacuterents acteurs interagissent en srsquoeacutechangeant diffeacuterents types de
ressources Nous envisageons les sceacutenarios suivants
bull Dans un premier sceacutenario le demandeur drsquoaccegraves se voit octroyer lrsquoaccegraves agrave une ressource parta-
geacutee par les deux parties qui gegraverent la ressource agrave savoir lrsquoacteur et lrsquoentreprise proprieacutetaires
bull Comme deuxiegraveme sceacutenario nous supposons que le systegraveme deacutetecte un comportement suspect
James tente drsquoacceacuteder aux brochures tarifaires proposeacutees par lrsquoentreprise de Bob pour les
entreprises drsquoAlice et de Jessy On suppose que James nrsquoa jamais tenteacute une telle initiative
auparavant Par conseacutequent le systegraveme deacuteduit dans un premier temps qursquoil srsquoagit drsquoune erreur
Cependant si James insiste le systegraveme peut soupccedilonner qursquoil srsquoest fait usurper son identiteacute
par un tiers malveillant eg une autre personne dans lrsquoentreprise
bull Par ailleurs nous supposons une deacutefaillance du systegraveme de controcircle drsquoaccegraves causeacutee par une ou
plusieurs regravegles obsolegravetes ou initialement mal deacutefinies Prenons le cas ougrave la sensibiliteacute drsquoune
30
23 Gestion des ressources et identiteacutes collaboratives
ressource collaborative change agrave travers le temps Imaginons dans un premier temps que
Carole une collegravegue de James partage un document qui contient du code source important
(ie confidentiel) avec Jessy pour son projet Plus tard la communauteacute srsquoagrandit davantage
et plusieurs deacuteveloppeurs logiciel integravegrent le projet de Jessy Ainsi Carole constate que la
confidentialiteacute et lrsquointeacutegriteacute de son document (code source) est en peacuteril Par conseacutequent elle
souhaite que certains acteurs soient bannis sur la base de leurs reacuteputations refleacuteteacutees par leurs
comportements respectifs
bull Supposons qursquoune autre menace soit reacuteveacuteleacutee par rapport agrave lrsquoauthenticiteacute des attributs drsquoiden-
titeacutes drsquoun acteur agrave travers le meacutecanisme utiliseacute au niveau de son entreprise pour la gestion
de lrsquoauthentification Comme exemple nous supposons que lrsquoentreprise drsquoAlice utilise comme
meacutecanisme drsquoauthentification le protocole Loginmot-de-passe Supposons que Alice parte en
vacances et se fasse remplacer par ldquoOscarrdquo Ainsi les tacircches drsquoAlice seront deacuteleacutegueacutees agrave Oscar
Cependant Oscar peut facilement se faire usurper son identiteacute car il utilise un nom drsquoutilisa-
teur ainsi qursquoun mot de passe triviaux
23 Gestion des ressources et identiteacutes collaboratives
Avant tout il est neacutecessaire drsquoenvisager une conception drsquoarchitecture de collaboration pour les
communauteacutes du RSE Cette architecture va influencer la maniegravere dont les diffeacuterentes entiteacutes actives
vont pouvoir collaborer et eacutechanger les ressources Derriegravere cet eacutechange de ressource srsquoimpose une
gestion des identiteacutes des ressources ainsi que des accreacuteditations des identiteacutes sur les ressources Pour
cela deux proprieacuteteacutes sont importantes le passage agrave lrsquoeacutechelle et lrsquoautonomie drsquoadministrattion des
autorisations sur les ressources deacuteployeacutees
La conception de lrsquoarchitecture drsquoune communauteacute RSE peut ecirctre centraliseacutee ou bien deacutecentra-
liseacutee Chaque type drsquoarchitecture preacutesente des avantages et des inconveacutenients En effet nous avons
eacutetudieacute trois types diffeacuterents drsquoarchitecture de collaboration [17] pour la conception de notre plate-
forme collaborative OpenPaaS agrave savoir la collaboration agrave long terme la collaboration agrave faible cou-
plage et la collaboration ad-Hoc
231 Types de collaboration dans les environnements collaboratifs
Les principaux besoins de conception de plates-formes collaboratives baseacutees sur des infrastruc-
tures Cloud sont lrsquoarchitecture multi-tenants la virtualisation des ressources lrsquoadministration deacute-
centraliseacutee et la feacutedeacuteration des identiteacutes Il existe trois types drsquoarchitectures de collaboration [17] qui
reacutepondent agrave ces besoins agrave savoir la collaboration agrave long terme la collaboration agrave faible couplage et
la collaboration ad-Hoc
2311 Collaboration agrave long terme
La collaboration agrave long terme (Fig 24) est un type de collaboration baseacute sur un niveau eacuteleveacute
de deacutependances mutuelles et de confiance entre les entreprises Ce genre de collaboration neacutecessite
31
Chapitre 2 Probleacutematique et motivations
une meacuteta-politique globale compatible avec les politiques propres agrave chaque entreprise Ces politiques
locales sont inteacutegreacutees et combineacutees dans une base de regravegles commune et centraliseacutee
La collaboration agrave long terme offre comme principal avantage la possibiliteacute de mettre en place
un cadre collaboratif de longue dureacutee gracircce agrave un ensemble a priori connu drsquoentreprises et de po-
litiques de collaboration entre ces derniegraveres De plus lrsquoaspect centraliseacute de ce type drsquoarchitecture
simplifie la gestion des ressources collaboratives agrave savoir les identiteacutes des acteurs les ressources les
politiques de controcircle drsquoaccegraves etc Cela permet en outre de promouvoir lrsquointeropeacuterabiliteacute en matiegravere
de politiques de controcircle drsquoaccegraves entre les diffeacuterentes entreprises car les politiques seront neacutegocieacutees
entre tous les partenaires concernant les profils des acteurs et les droits qui srsquoen suivent dans chaque
entreprise
En revanche lrsquoarchitecture de collaboration agrave long terme preacutesente quelques limites par rapport
agrave notre contexte RSE En effet on constate un manque eacutevident de confidentialiteacute et drsquointeacutegriteacute des
ressources ducirc au fait que les entreprises manquent drsquoautonomie dans la gestion de leurs ressources
propres En effet les ressources seront heacutebergeacutees au niveau de la communauteacute En outre dans une
collaboration agrave long terme eacutetablir un plan drsquoaccord concernant les politiques drsquoeacutechanges collaboratifs
entre toutes les entreprises drsquoune communauteacute risque de prendre beaucoup de temps paralysant ainsi
le processus de collaboration
Composition de politiques
Politiquesentreprise
Meacuteta-politique globale
communauteacute
FIGURE 24 ndash Collaboration agrave long terme [17]
2312 Collaboration agrave faible couplage
Comme son nom lrsquoindique cette architecture est caracteacuteriseacutee par un couplage faible entre les
diffeacuterentes entreprises dans lrsquoenvironnement collaboratif Cela signifie que les politiques locales de
controcircle drsquoaccegraves de chaque entreprise controcirclent lrsquoaccegraves vis-agrave-vis des interactions avec les entiteacutes
collaboratrices externes En effet comme le montre la figure 25 lrsquoaccegraves aux ressources est soumis agrave
deux niveaux de politiques de controcircle drsquoaccegraves un niveau de politiques communes interentreprises
et un niveau de politiques indeacutependantes au niveau de chaque entreprise
Contrairement agrave une architecture de collaboration agrave long terme cette architecture offre aux
32
23 Gestion des ressources et identiteacutes collaboratives
entreprises plus drsquoindeacutependance en matiegravere drsquoadministration de politiques En outre dans ce type
drsquoarchitecture les ressources restent heacutebergeacutees au niveau des serveurs des entreprises Par conseacute-
quent une ressource partageacutee devient accessible via un Service Level Agreement SLA assurant une
meilleur preacuteservation de lrsquointeacutegriteacute et la confidentialiteacute des ressources
Par rapport agrave nos objectifs de seacutecuriteacute agrave savoir lrsquoautonomie drsquoadministration de politiques et la fa-
ciliter de partage de ressource nous consideacuterons que lrsquoarchitecture de collaboration agrave faible couplage
est mieux adapteacutee agrave notre contexte RSE que lrsquoarchitecture de collaboration agrave long terme Neacuteanmoins
la gestion indeacutependante du controcircle drsquoaccegraves au niveau de chaque entreprise peut provoquer des pro-
blegravemes drsquointeropeacuterabiliteacute lors de la confrontation des attributs drsquoidentiteacute drsquoacteurs externes vis-agrave-vis
des politiques internes de lrsquoentreprise comme crsquoest le cas dans le premier exemple de motivation ougrave
lrsquoeacutetudiante Jessy collabore avec lrsquoentreprise informatique de James Par conseacutequent il faudra eacutetudier
lrsquointeropeacuterabiliteacute agrave lrsquoeacutechelle du modegravele de controcircle drsquoaccegraves
Politique
Veacuterification des politiques Inter-entreprises
Veacuterification des politiques entreprise
communauteacute
FIGURE 25 ndash Collaboration agrave faible couplage [17]
2313 Collaboration Ad Hoc
Par rapport aux types de collaboration preacuteceacutedents la collaboration ad-Hoc se base sur une in-
frastructure tregraves flexible car les dureacutees de collaboration peuvent ecirctre eacutepheacutemegraveres Par exemple une
entreprise ou un acteur peuvent rejoindre ou quitter une communauteacute agrave tout moment Ainsi gracircce
agrave cette forme de collaboration il nrsquoest pas neacutecessaire de mettre en place des proceacutedures compliqueacutees
pour la gestion de la consommation etou du partage de ressources collaboratives En effet cela deacute-
pend de la fluiditeacute et lrsquoagiliteacute dans la mise en place des politiques de controcircle drsquoaccegraves Par exemple
un acteur veut sous traiter une tacircche qui lui est confieacutee agrave un autre acteur externe Pour cela lrsquoacteur
principal a besoin de deacutefinir les permissions drsquoune maniegravere simple flexible et eacuteventuellement tempo-
raire agrave lrsquoeacutegard de lrsquoacteur qui sous traitera sa tacircche Neacuteanmoins ce type de collaboration ne favorise
pas la collaboration agrave long terme et donne aux acteurs une autonomie exageacutereacutee ce qui peut parfois
ecirctre deacutesavantageux pour lrsquoentreprise proprieacutetaire des ressources partageacutees notamment lorsqursquoil srsquoagit
drsquoacteurs malveillants
33
Chapitre 2 Probleacutematique et motivations
communauteacute
Politique
FIGURE 26 ndash Collaboration Ad hoc [17]
2314 Synthegravese
Agrave lrsquoimage du nombre eacuteleveacute drsquoutilisateurs et de ressources dans lrsquoenvironnement ubiquitaire RSE
une gestion totalement centraliseacutee (ie collaboration agrave long terme) des ressources ainsi que des
accreacuteditations peut avoir un impact neacutegatif sur la qualiteacute de collaboration rechercheacutee par lrsquoutilisation
drsquoun RSE En effet cela peut ralentir le processus de collaboration agrave cause de la complication de
lrsquoadministration de lrsquoaccegraves aux ressources via des meacutetapolitiques globales En revanche une gestion
centraliseacutee peut ecirctre favorable pour lrsquointeropeacuterabiliteacute en matiegravere de gestion des accreacuteditations et
permet eacutegalement de promouvoir la feacutedeacuteration des identiteacutes
Par ailleurs agrave lrsquoimage de la sensibiliteacute des ressources professionnelles deacuteployeacutees dans une com-
munauteacute une entreprise ne peut pas ceacuteder (ie deacuteleacuteguer) complegravetement lrsquoadministration de ses
ressources agrave une partie tierce en lrsquooccurrence la communauteacute RSE Ainsi il est primordial pour
chaque entreprise de garder son autonomie pour lrsquoadministration de ses ressources ie collabora-
tion agrave faible couplage Neacuteanmoins cela ne doit pas causer des problegravemes drsquointeropeacuterabiliteacute En outre
notre conception drsquoarchitecture doit eacutegalement permettre drsquoeacutetablir des collaborations de courte du-
reacutee ie des collaborations ad-Hoc et ce drsquoune maniegravere flexible qui nrsquoexige pas une administration
compliqueacutee des accreacuteditions sur les ressources collaboratives
Par conseacutequent notre objectif est de trouver un juste milieu entre une approche centraliseacutee et
deacutecentraliseacutee tout en respectant les proprieacuteteacutes drsquoautonomie drsquoentreprise de fluiditeacute drsquoeacutechanges col-
laboratifs et drsquointeropeacuterabiliteacute
Nous allons par la suite nous inteacuteresseacute agrave la gestion de lrsquoauthentification des identiteacutes numeacuteriques
au sein des communauteacutes RSE
232 Gestion de lrsquoauthentification
Dans le cadre de notre conception du modegravele de seacutecuriteacute pour le RSE OpenPaaS nous consideacute-
rons que les communauteacutes de collaboration sont indeacutependantes en matiegravere de gestion des identiteacutes
et des accreacuteditations Cela signifie drsquoun cocircteacute qursquoun acteur dans une communauteacute donneacutee ne peut
34
24 Controcircle drsquoaccegraves
pas heacuteriter des permissions depuis drsquoautres communauteacutes et drsquoun autre cocircteacute cela veut dire que les
ressources ne sont pas transfeacuterables drsquoune communauteacute agrave drsquoautres En drsquoautres termes les identiteacutes
ainsi que les permissions sont mono-communautaire Cela signifie qursquoune phase drsquoauthentification est
indispensable au niveau de chaque communauteacute car elle permet de lier chaque identiteacute agrave ses droits
drsquoaccegraves deacutefinis dans la communauteacute en question
Dans un cadre RSE chaque entreprise dispose en reacutealiteacute de son propre meacutecanisme de gestion
drsquoidentiteacutes numeacuteriques qursquoelle voudrait naturellement preacuteserver au sein du RSE Un meacutecanisme de
gestion drsquoidentiteacute utilise un protocole drsquoauthentification qui peut diffeacuterer drsquoune entreprise agrave une autre
eg loginmot-de-passe Pin OpenID etc Cela signifie que pour qursquoun acteur puisse acceacuteder agrave une
ressource partageacutee son identiteacute doit ecirctre approuveacutee par le meacutecanisme de gestion des identiteacutes de
lrsquoentreprise externe proprieacutetaire de la ressource et ce en fonction du protocole drsquoauthentification
utiliseacute par cette derniegravere Agrave lrsquoimage de lrsquoheacuteteacuterogeacuteneacuteiteacute des protocoles drsquoauthentification existants 23
la principale question qui se pose dans ce contexte est relative agrave la maniegravere dont sera traiteacutee lrsquoin-
teropeacuterabiliteacute (en matiegravere drsquoauthentification) au sein de la mecircme communauteacute Il nrsquoest en effet pas
eacutevident de concevoir une plate-forme qui permet de geacuterer cette interopeacuterabiliteacute Par conseacutequent il
convient de trouver une solution alternative qui permette de geacuterer cette interopeacuterabiliteacute
24 Controcircle drsquoaccegraves
Lrsquoideacutee de collaboration au sein drsquoune communauteacute OpenPaaS est baseacutee sur lrsquoeacutechange entre au
moins deux entreprises Le choix drsquoune deacutemarche de collaboration baseacutee sur le concept de reacuteseaux
sociaux vise en premier lieu agrave rendre les eacutechanges entre collaborateurs plus fluides ie plus de faci-
liteacute dans la proceacutedure de partage de ressource Eacutetant indeacutependante chaque entreprise dispose de ses
propres politiques de gestion de lrsquoaccegraves agrave ses ressources y compris celles destineacutees agrave la collaboration
Cela signifie qursquoil est neacutecessaire de mettre en place un modegravele de politiques collaboratives qui per-
met drsquohomogeacuteneacuteiser les diffeacuterentes politiques des entreprises Par conseacutequent afin de neacutegocier les
droits par rapport agrave la maniegravere dont chaque entreprise attribue les privilegraveges agrave chaque caracteacuteristique
identitaire le modegravele de politiques collaboratives doit ecirctre flexible Par exemple dans une univer-
siteacute le statut ldquochef de deacutepartementrdquo donne le droit agrave lrsquoentiteacute qui le possegravede de consulter librement
lrsquoavancement de tous les projets de stages des eacutetudiants de son deacutepartement Tandis qursquoun chef de
deacutepartement dans une entreprise (avec qui lrsquouniversiteacute collabore) ne peut pas avoir un tel privilegravege
seul le chef de deacutepartement de lrsquouniversiteacute dispose drsquoun tel droit Ainsi la caracteacuteristique chef de
deacutepartement dans lrsquoentreprise doit ecirctre mixeacutee avec lrsquoattribut qui le qualifie de ldquosuperviseurrdquo de projet
de stage pour qursquoil puisse suivre lrsquoavancement du projet de lrsquoeacutetudiant en question En reacutealiteacute de telles
neacutegociations ne sont pas faciles agrave eacutetablir et prennent dans certain cas beaucoup de temps (deacutepassant
parfois le deacutelai preacutevu pour la reacutealisation du projet collaboratif) Dans ce cas cela signifie que le RSE
nrsquoapporte plus un grand inteacuterecirct en matiegravere de collaboration Par conseacutequent il est peut-ecirctre plus ju-
23 La plupart des protocoles drsquoauthentification existants sont codeacutes de maniegraveres tregraves diffeacuterentes et sont souvent incom-patibles les uns avec autres Par exemple un jeton drsquoauthentification conforme au protocole SAML nrsquoest pas compatibleavec un meacutecanisme utilisant le protocole OAuth ou OpenID
35
Chapitre 2 Probleacutematique et motivations
dicieux de se servir de lrsquoagiliteacute (offerte par le RSE) en matiegravere de partage de ressources et de confier
ainsi la tacircche de deacutefinition de droits aux entiteacutes directement impliqueacutees (drsquoune maniegravere active) dans
la collaboration en lrsquooccurrence les principaux sujets de collaboration agrave savoir les acteurs humains
Afin qursquoun acteur puisse deacutefinir une regravegle de controcircle drsquoaccegraves il est neacutecessaire que cette der-
niegravere soit simple Plus preacuteciseacutement agrave partir du moment ougrave un acteur sait avec qui il doit partager
une ressource donneacutee et de quelle maniegravere (action autoriseacutee) il peut deacutefinir ce droit en preacutecisant
seulement le sujet lrsquoobjet (la ressource) et lrsquoaction (lecture eacutecriture exeacutecution) En effet un acteur
ne peut pas deacutefinir des regravegles globales telle que celle preacutesenteacutee dans lrsquoexemple preacuteceacutedent (cf chef
de deacutepartement) Dans un contexte RSE cela a en revanche un contrecoup relatif agrave une utilisation
abusive drsquoune telle autonomie par lrsquoacteur En effet lrsquoacteur est libre de deacutefinir des droits sur des res-
sources appartenant agrave son entreprise comme bon lui semble De plus mecircme un acteur bienveillant
peut se tromper dans la deacutefinition drsquoune regravegle donnant le droit drsquoaccegraves agrave une mauvaise entiteacute active
(un concurrent eacuteconomique par exemple) Par conseacutequent lrsquoentreprise doit garder un controcircle sur
les regravegles deacutefinies par ses acteurs Cependant en raison de la grande freacutequence de partage dans une
communauteacute RSE le controcircle de lrsquoentreprise ne peut pas ecirctre au mecircme niveau de granulariteacute que
celui des acteurs En drsquoautres termes une entreprise ne peut pas controcircler chaque nouvelle regravegle
deacutefinie au sein de chaque communauteacute Nous reviendrons sur cet aspect avec davantage de deacutetails
quand nous aborderons la probleacutematique lieacutee agrave la supervision (cf Section 25)
Un autre souci lieacute agrave lrsquoadministration de regravegles baseacutees sur les acteurs concerne les eacuteventuelles
incoheacuterences dans la deacutefinition de la regravegle En drsquoautres termes un acteur peut mal deacutefinir une regravegle
de controcircle drsquoaccegraves en se trompant ou en oubliant un des attributs de la cible (sujetobjetaction)
Par conseacutequent il est primordial de veacuterifier que les regravegles soient bien deacutefinies Une telle veacuterification
peut ecirctre reacutealiseacutee de diffeacuterentes maniegraveres elle peut ecirctre manuelle ou automatique Cependant cette
veacuterification est dans les deux cas tregraves coucircteuse Par exemple il est tregraves freacutequent dans le cas des regravegles
deacutefinies agrave base drsquoune syntaxe XML (eg XACML) que les utilisateurs deacutefinissent mal des regravegles de
controcircle drsquoaccegraves Une proceacutedure de veacuterification est possible au moyen des modules de veacuterification au
niveau client Sachant que nous sommes dans un environnement ubiquitaire (RSE) une alternative
moins coucircteuse qui permet de palier le problegraveme de la veacuterification automatique est drsquoopter pour un
formalisme logique en guise de langage de deacutefinition de regravegle En deacutepit de la difficulteacute 24 drsquoeacutecrire
des preacutedicats logiques un langage formel doteacute drsquoun raisonneur automatique permet de reacutesoudre le
problegraveme de veacuterification et de reacuteduire consideacuterablement les coucircts 25 de veacuterification de la coheacuterence
Par ailleurs dans un RSE une ressource partageacutee entre deux ou plusieurs acteurs est une copro-
prieacuteteacute de tous ces acteurs Par conseacutequent il est important qursquoun acteur donneacute puisse revendiquer
(pour une raison donneacutee) lrsquoaccegraves sur une ressource partageacutee par un de ses coproprieacutetaires Cela im-
plique le besoin de combinaison de plusieurs regravegles deacutefinies par des acteurs agrave lrsquoeacutegard drsquoune mecircme
ressource et geacuterer par conseacutequent les possibles incoheacuterences entre regravegles
Lrsquoideacutee de faire eacutetablir des regravegles drsquoautorisation par des acteurs collaboratifs favorise en outre le
24 Que nous avons banaliseacutee gracircce agrave un programme de geacuteneacuteration automatique qui se base sur un ensemble drsquoattributsen lrsquooccurrence la cible
25 Une illustration des performances sera preacutesenteacutee dans le chapitre cd Mise en œuvre
36
24 Controcircle drsquoaccegraves
mode de collaboration ad-Hoc En effet une collaboration ad-Hoc peut ecirctre exploiteacutee afin de per-
mettre agrave un acteur de sous traiter des tacircches agrave drsquoautres acteurs en srsquoappuyant sur la faciliteacute de deacutefini-
tion drsquoautorisations Une sous traitance de tacircche peut ecirctre vue comme une deacuteleacutegation [204 79 167
197] de droits drsquoun deacuteleacutegataire agrave un deacuteleacutegueacute afin qursquoil puisse acceacuteder agrave ces ressources Cependant
une collaboration ad-Hoc est eacutepheacutemegravere et les droits drsquoaccegraves le sont eacutegalement Par conseacutequent la
regravegle drsquoautorisation en question doit ecirctre supprimeacutee agrave la fin de la collaboration Neacuteanmoins quand
il srsquoagit drsquoacteurs humains (la majoriteacute des acteurs drsquoun RSE en geacuteneacuteral) le risque drsquooubli peut avoir
un impact neacutegatif sur la confidentialiteacute des ressources deacuteleacutegueacutees Ainsi une bonne solution est drsquoau-
tomatiser la suspension de la regravegle apregraves une peacuteriode de validation preacutevue Cela implique drsquoinclure
lrsquoaspect temporel dans la deacutefinition de la regravegle Deacutefinir des contraintes temporelles sur une regravegle de
controcircle drsquoaccegraves ne constitue pas en-soi une tacircche tregraves compliqueacutee Crsquoest le cas par exemple dans les
politiques XACML ougrave de telles contraintes temporelles peuvent ecirctre deacutefinies agrave base de XML Cepen-
dant dans la perspective de tirer profit de lrsquoavantage de la veacuterification automatique de la coheacuterence
des regravegles que nous fournit un langage formel il reste difficile drsquoinclure le temps dans la modeacutelisation
de regravegles
37
Chapitre 2 Probleacutematique et motivations
25 Supervision et confiance numeacuterique
Dans le cadre de notre discussion agrave propos de la conception drsquoun modegravele de regravegles qui soient
deacutefinies par les acteurs de collaborations nous avons souligneacute lrsquoimportance de la veacuterification de ces
regravegles par les entreprises concerneacutees En effet le controcircle se fait plutocirct vis-agrave-vis des requecirctes externes
car on se base sur lrsquohypothegravese que lrsquoacteur interne ne soit pas corrompu (ou compromis) et risque
seulement de se tromper au moment de la deacutefinition de la regravegle En drsquoautres termes on srsquointeacuteresse au
profil dynamique du sujet de la requecircte appartenant agrave une entreprise partenaire Un profil dynamique
drsquoun acteur de collaboration est repreacutesenteacute par certains attributs susceptibles de changer de valeurs
agrave travers le temps 26 notamment ceux qui repreacutesentent son comportement comme le nombre de ses
tentatives drsquoaccegraves le temps passeacute par session la freacutequence de partage de ressources etc
En reacutealiteacute un acteur peut avoir diffeacuterents comportements pendant ses expeacuteriences collaboratives
dont certains comportements peuvent constituer des menaces de seacutecuriteacute pour les entreprises ie
comportement malveillant De nombreuses approches dans diffeacuterents travaux [107 149 46 183 47]ont essayeacute de preacutedire le comportement futur drsquoun acteur Neacuteanmoins le comportement drsquoune entiteacute
active reste impreacutevisible et peut parfois srsquoaveacuterer tregraves variable et instable notamment dans le cadre
des reacuteseaux sociaux drsquoentreprise ougrave les acteurs sont majoritairement des humains Ainsi agrave lrsquoimage de
lrsquoenjeu majeur de la confidentialiteacute des ressources professionnelles cela risque de causer de seacuterieux
dommages pour les entreprises
Pour faire face agrave lrsquoaspect dynamique du comportement drsquoun acteur humain dans un contexte
collaboratif la question se pose naturellement par rapport agrave la confiance qursquoun systegraveme de controcircle
drsquoaccegraves peut accorder agrave cet acteur Crsquoest pourquoi le comportement de tout acteur doit ecirctre en perma-
nence superviseacute et ses traces drsquointeractions collaboratives enregistreacutees et archiveacutees La supervision agrave
lrsquoeacutegard drsquoun acteur est geacuteneacuteralement baseacutee sur lrsquoexploitation de lrsquohistorique drsquointeraction enregistreacute
Sous le volet du controcircle drsquoaccegraves cette analyse se doit drsquoecirctre pertinente afin de promouvoir la fiabiliteacute
des deacutecisions drsquoautorisations drsquoaccegraves prises au niveau des communauteacutes RSE En outre elle permet-
tra de remettre en cause certaines regravegles (pour une eacuteventuelle reacutevision) jugeacutees obsolegravetes vis-agrave-vis de
tout acteur teacutemoignant drsquoune mauvaise reacuteputation
Selon notre point de vue une analyse pertinente de lrsquohistorique comportemental drsquoun acteur
doit permettre drsquoagir rapidement suite agrave lrsquointerception drsquoun comportement douteux Agir dans notre
contexte est synonyme de rejeter la requecircte et par conseacutequent peacutenaliser lrsquoacteur qui en est agrave lrsquoorigine
par rapport agrave sa reacuteputation 27 dans le cadre collaboratif Par ailleurs agrave lrsquoimage du cadre social de
la vie reacuteelle la confiance doit pouvoir srsquoameacuteliorer suite au maintien de comportements corrects
Dans la mecircme optique la vitesse drsquoameacutelioration de la confiance est loin drsquoecirctre aussi rapide que sa
deacutegradation En reacutesumeacute dans le but de reacutepondre agrave ces besoins il convient drsquointeacutegrer dans notre
plate-forme un systegraveme dynamique drsquoeacutevaluation de la confiance de chaque acteur suivant lrsquoeacutevolution
de sa reacuteputation sur une ligne temporelle continue Pour chaque sujet la reacuteputation et ainsi le niveau
26 Les informations statiques telles que (le nom lrsquoage le rocircle etc) sont ignoreacutees27 La reacuteputation a un impact direct sur lrsquoeacutevolution positive ou neacutegative de la confiance drsquoun acteur cf chapitre
Confiance numeacuterique
38
26 Synthegravese
de confiance peuvent eacutevoluer drsquoune maniegravere continue positivement ou neacutegativement en fonction du
comportement du sujet agrave travers ses sessions collaboratives Cependant la question qui reste poseacutee
est comment une eacutevaluation de la confiance peut-elle servir les entreprises pour mettre en place des
politiques abstraites et efficaces
251 Gestion du risque des requecirctes de demande drsquoaccegraves
Dans le cadre de la supervision et lrsquoeacutevaluation de la confiance nous avons souligneacute lrsquoimportance
du besoin de la prise en consideacuteration du comportement de chaque entiteacute active principalement
les acteurs humains Par conseacutequent nous avons opteacute pour un meacutecanisme de gestion du risque pour
eacutetudier la possibiliteacute drsquoexploiter et drsquointeacutegrer la confiance avec eacuteventuellement de nouvelles variables
lieacutees au contexte RSE
Outre les reacuteputations des acteurs externes drsquoautres variables entrent en consideacuteration comme
lrsquoimportance drsquoune ressource collaborative qui peut changer agrave travers le temps en fonction du nombre
drsquoacteurs concerneacutes Par ailleurs lrsquoheacuteteacuterogeacuteneacuteiteacute drsquoune communauteacute en matiegravere drsquoauthentification
drsquoacteurs peut laisser place agrave certaines vulneacuterabiliteacutes dans la mesure ougrave une entreprise ne peut pas
eacutevaluer la fiabiliteacute drsquoun meacutecanisme drsquoauthentification utiliseacute par une autre entreprise partenaire
Une ressource dans un RSE peut appartenir agrave plusieurs proprieacutetaires en mecircme temps Le nombre
de proprieacutetaires peut eacutegalement changer agrave travers le temps Ce changement est susceptible de pro-
voquer une alteacuteration de lrsquoimportance de la ressource en question et ce en partant du principe que
lrsquoimportance drsquoune ressource collaborative augmente avec lrsquoaccroissement du nombre de proprieacute-
taires Ainsi ce critegravere drsquoimportance peut eacutegalement ecirctre tregraves important pour la phase de controcircle
des politiques de partage au niveau des entreprises
Afin de promouvoir la collaboration et respecter les preacutefeacuterences des entreprises en matiegravere de
gestion drsquoauthentification nous avons souligneacute le fait qursquoau sein drsquoune communauteacute on ne doit pas
imposer un meacutecanisme commun agrave toutes les entreprises Dans lrsquohypothegravese ougrave on arrive agrave geacuterer cette
interopeacuterabiliteacute il reste agrave eacutetudier les contrecoups drsquoune telle heacuteteacuterogeacuteneacuteiteacute sur la gestion des autori-
sations drsquoaccegraves aux ressources collaboratives vu que les deux proceacutedures agrave savoir lrsquoauthentification
et lrsquoautorisation sont compleacutementaires En effet tous les meacutecanismes drsquoauthentification ne reflegravetent
pas le mecircme niveau drsquointeacutegriteacute ni de certification de lrsquoauthenticiteacute des identiteacutes numeacuteriques authen-
tifieacutees Ainsi la vulneacuterabiliteacute de lrsquoenvironnement collaboratif agrave savoir la communauteacute peut ecirctre lieacutee
agrave la fiabiliteacute des identiteacutes en matiegravere drsquoauthenticiteacute
26 Synthegravese
Cette section reacutesume la probleacutematique de cette thegravese qui porte sur la seacutecurisation des eacutechanges
collaboratifs au sein drsquoun RSE
Lrsquohypothegravese geacuteneacuterale qui peut reacutesumer la probleacutematique est la suivante ldquoun acteur obtient un
accegraves agrave une ressource qui lui est normalement non autoriseacute et met ainsi en peacuteril la confidentialiteacute de
la ressourcerdquo En effet mecircme avec lrsquoutilisation drsquoun systegraveme de controcircle drsquoaccegraves classique plusieurs
39
Chapitre 2 Probleacutematique et motivations
sceacutenarios menaccedilants peuvent se produire tels que
bull La regravegle de controcircle drsquoaccegraves a eacuteteacute initialement mal deacutefinie
bull un pirate informatique usurpe lrsquoidentiteacute drsquoun utilisateur de confiance ou un utilisateur existant
devient malveillant et essaie de voler des informations preacutecieuses
bull la sensibiliteacute (ie lrsquoimportance) drsquoune ressource collaborative donneacutee change agrave travers le
temps ce qui rend la regravegle de controcircle drsquoaccegraves initiale obsolegravete
bull le meacutecanisme drsquoauthentification utiliseacute pour lrsquoauthentification de lrsquoidentiteacute du demandeur
drsquoaccegraves inclut des failles de seacutecuriteacute ce qui signifie que lrsquoauthenticiteacute de lrsquoidentiteacute de lrsquoacteur
en question ne peut pas ecirctre garantie
Ceci nous conduit agrave relever pour la conception du meacutecanisme de controcircle drsquoaccegraves destineacute au RSE
OpenPaaS les besoins suivants
bull la flexibiliteacute du modegravele de regravegle afin de geacuterer lrsquointeropeacuterabiliteacute entre les diffeacuterentes entreprises
collaboratives en matiegravere de gouvernance du controcircle drsquoaccegraves
bull la possibiliteacute de deacutefinir les regravegles neacutegatives (ie interdiction) afin de permettre agrave un acteur de
revendiquer lrsquoaccegraves agrave une ressources donneacutee (ie deacutecentralisation du pouvoir de gestion de
ressources collaboratives)
bull lrsquoautonomie de lrsquoentreprise par la possibiliteacute de filtrer les regravegles deacutefinies par ses acteurs et ce
avec un niveau assez eacuteleveacute drsquoabstraction
bull la consideacuteration du contexte dynamique de collaboration
bull la prise en consideacuteration du temps dans la deacutefinition des regravegles de deacuteleacutegations auto-reacutevocables
(ie permissions temporaires)
bull la veacuterification automatique et non coucircteuse de la consistance et la coheacuterence des politiques
preacutesentes en tregraves grande masse dans les communauteacutes RSE
27 Conclusion
Dans ces deux premiers chapitres (Introduction geacuteneacuterale et Probleacutematique et motivations) nous
avons introduit nos travaux reacutealiseacutes dans le cadre de cette thegravese Drsquoabord nous avons preacutesenteacute le
contexte ainsi que les objectifs sur lesquels nous nous sommes focaliseacutes pour eacutetudier les diffeacuterents
aspects de probleacutematique ayant guideacute nos diffeacuterentes contributions Dans les chapitres suivants nous
allons preacutesenter ces contributions mais avant nous introduisant lrsquoEacutetat de lrsquoart qui permettra de mieux
comprendre certains de nos choix et aidera agrave la compreacutehension de nos solutions
40
Chapitre 3
Eacutetat de lrsquoart
Sommaire
31 Gestion des identiteacutes numeacuteriques collaboratives 41
311 Identiteacute et cycle de vie 42
312 Eacutetude des solutions existantes 43
32 Controcircle drsquoaccegraves 49
321 Paradigmes de construction drsquoun langage de politique 50
322 Politiques de controcircle drsquoaccegraves classiques et modegraveles associeacutes 51
323 Attribute Based Access Control 58
324 Mise en œuvre de politiques ABAC 60
325 Controcircle drsquoaccegraves dynamique 64
326 Deacuteleacutegation 71
327 Vers une implantation formelle de XACML 73
33 Conclusion 76
34 Synthegravese de lrsquoeacutetat de lrsquoart 76
Dans ce chapitre nous allons preacutesenter un eacutetat de lrsquoart portant sur des travaux ayant eacuteteacute reacutealiseacutes
dans des contextes similaires au notre agrave savoir la gestion des identiteacutes numeacuterique et des autorisa-
tions de controcircle drsquoaccegraves dans les environnements collaboratifs Nous preacutesenterons par ailleurs des
concepts que nous avons utiliseacutes dans lrsquoeacutelaboration de nos solutions en la matiegravere
31 Gestion des identiteacutes numeacuteriques collaboratives
Dans un environnement collaboratif il existe deux types drsquoentiteacute de collaboration agrave savoir les
entiteacutes passives et les entiteacutes actives Une entiteacute active peut ecirctre un utilisateur humain ou un pro-
gramme informatique (un service web un agent informatique etc) Quant agrave lrsquoentiteacute passive elle
peut ecirctre tout objet utilisable par une entiteacute active comme une ressource un logiciel une informa-
tion etc La principale diffeacuterence en termes de seacutecuriteacute est que contrairement agrave une entiteacute active une
entiteacute passive peut uniquement recevoir des informations mais ne peut pas les revendiquer aupregraves
drsquoautres entiteacutes (passives ou actives)
41
Chapitre 3 Eacutetat de lrsquoart
Toute entiteacute collaborative (processus services donneacutees mais aussi utilisateurs logiciels) possegravede
une identiteacute numeacuterique la distinguant au sein de chaque communauteacute de collaboration Une entiteacute
est caracteacuteriseacutee par un ensemble drsquoattributs permettant de deacuteterminer son profil dans le cadre colla-
boratif (confiance comportement rocircle sensibiliteacute etc) Une bonne gestion des identiteacutes numeacuteriques
doit prendre en consideacuteration deux aspects fondamentaux agrave savoir leurs certifications (authentifica-
tion) et leurs accreacuteditations drsquoaccegraves (autorisation) Dans cette section nous nous sommes focaliseacutes
sur la partie authentification et la gestion des identiteacutes numeacuteriques
311 Identiteacute et cycle de vie
Bien que lrsquoidentiteacute drsquoune quelconque entiteacute est censeacutee ecirctre indeacutependante et unique elle est en
reacutealiteacute toujours relieacutee agrave un domaine faisant partie drsquoun contexte speacutecifique Par exemple lrsquoidentiteacute
ldquoBobrdquo dans le contexte social nrsquoest pas la mecircme que ldquoMr Bernardrdquo dans le domaine professionnel
Cependant ces deux identiteacutes font reacutefeacuterence la mecircme personne Par conseacutequent lrsquoidentiteacute de chaque
entiteacute active doit rester unique eacuteventuellement avec de multiples reacutefeacuterences pouvant la distinguer
dans chacun des domaines de reacutefeacuterence
Une entiteacute est donc caracteacuteriseacutee par un ou plusieurs attributs ayant une seacutemantique particuliegravere
par rapport agrave un domaine Lrsquoensemble des attributs drsquoune entiteacute quelconque est accessible via un
identifiant interne ie identifiant priveacutee au domaine La figure 31 donne une vue globale sur les
relations domaine-entiteacute-identiteacute
ID interne
Externe ID2
Externe ID1
Attributsltcleacutevaleurgt
Externe ID1
Communauteacute 1
Domaine de lidentiteacute initiale du sujet
(entreprise)
Externe ID3
Acteur
Jeton dauthentification
Communauteacute 2
Communauteacute 3
Comm
ID2
ID3
RSE
FIGURE 31 ndash Gestion des identiteacute dans les communauteacutes feacutedeacutereacutees
Lrsquoidentifiant interne (ID interne) repreacutesente lrsquoidentiteacute initiale drsquoune entiteacute dans son domaine ini-
tial Un domaine initial drsquoidentiteacute est le cadre dans lequel lrsquoidentiteacute de lrsquoentiteacute en question a eacuteteacute
42
31 Gestion des identiteacutes numeacuteriques collaboratives
initialement creacuteeacutee Lrsquoidentifiant interne preacutesente quelques particulariteacutes et exigences par rapport aux
autres attributs drsquoidentiteacute agrave savoir
bull lrsquoidentifiant interne permet de distinguer lrsquoentiteacute en question par rapport aux autres entiteacutes
du mecircme domaine (ie les identiteacutes internes)
bull lrsquoidentifiant interne doit ecirctre indeacutependant de la seacutemantique que peuvent avoir les attributs de
lrsquoentiteacute qursquoil repreacutesente
bull lrsquoidentifiant interne ne doit pas avoir un sens particulier ou ecirctre relieacute agrave drsquoautres attributs
bull lrsquoidentifiant interne est restreint (priveacute) au domaine de lrsquoentiteacute qursquoil repreacutesente il ne doit
jamais ecirctre visible agrave partir drsquoautres domaines externes
Cependant dans un cadre collaboratif une entiteacute doit pouvoir avoir une identiteacute externe agrave son
domaine initial En drsquoautres termes une entiteacute collaborative active a besoin drsquoun identifiant qui
soit utilisable dans les autres domaines avec lesquels elle souhaite collaborer On parle dans ce cas
drsquoidentifiant externe qui sert agrave deacutefinir une facette drsquoidentiteacute adapteacutee agrave un domaine donneacute agrave partir
drsquoune identiteacute initiale En drsquoautres mots lrsquoidentifiant externe peut ecirctre lieacute agrave un sous-ensemble de
lrsquoensemble inteacutegral des attributs identitaires stockeacutes dans le domaine initial de lrsquoentiteacute en question
Cela permet drsquoavoir une bonne flexibiliteacute dans la collaboration (faciliter de deacutefinir des identiteacutes) tout
en ayant une bonne confidentialiteacute des attributs identitaires Par exemple dans une communauteacute
drsquoentraide en programmation informatique un acteur nrsquoa pas besoin de divulguer certains attributs
drsquoordre personnel comme son numeacutero de teacuteleacutephone adresse reacutesidentielle ou numeacutero de seacutecuriteacute
sociale
Drsquoun point de vue protection de ressources collaboratives lrsquoidentifiant externe sert agrave authentifier
une entiteacute dans un domaine qui lui est externe Plusieurs meacutethodes sont utiliseacutees pour une proceacutedure
drsquoauthentification agrave savoir des meacutethodes centraliseacutees et des meacutethodes distribueacutees
312 Eacutetude des solutions existantes
Avec lrsquoeacutevolution des architectures des systegravemes les meacutethodes drsquoauthentification sont passeacutees de
meacutethodes classiques et centraliseacutees telles que le fameux loginmot-de-passe et outils similaires agrave des
meacutethodes deacutecentraliseacutees davantage orienteacutees vers les environnements multi-domaines
3121 Authentification forte
Lrsquoauthentification forte (figure32) est une nouvelle famille des protocoles drsquoauthentification
classiques baseacutees sur de multiples dispositifs drsquoauthentification comme la meacutemoire de lrsquoutilisateur
(Loginmot-de-passe code pin etc) les systegravemes de codage aleacuteatoire (envoi drsquoun sms sur le teacuteleacute-
phone portable personnel) ou les proceacutedeacutes biomeacutetriques (empreinte digitale reconnaissance vo-
calereacutetinienne etc)
Lrsquoauthentification forte est une nouvelle forme de veacuterification des identiteacutes numeacuterique qui se base
sur la faciliteacute de lrsquoaccegraves aux informations agrave tout moment 28 pour renforcer les proceacutedures classiques
28 eg la lecture drsquoun sms ou drsquoun e-mail depuis son smartphone
43
Chapitre 3 Eacutetat de lrsquoart
Secret quon connaitProprieacuteteacute physique
(ce quon est)
Proprieacuteteacute digitale(ce quon possegravede)
FIGURE 32 ndash Authentification forte
baseacutees sur des informations secregravetes fournies par lrsquoutilisateur final (eg un mot de passe) et ce en
eacutetendant le processus sur deux phases de veacuterifications
Avec les outils reacutecents de geacuteneacuteration de mots de passe ces derniers sont devenus assez difficiles agrave
deacuteduire (eg WPA WEP TKIP WEP TKIP+AES WPA2) cependant ils restent vulneacuterables Car un mot
de passe peut ecirctre pirateacute ou bien juste voleacute (observeacute) par manque de vigilance du possesseur Or avec
lrsquoauthentification forte lrsquoutilisateur (agrave authentifier) doit justifier de la possession drsquoun code agrave usage
unique envoyeacute sur son adresse mail ou sur son teacuteleacutephone mobile sous forme de message texte et ce
sur un terminal qursquoil avait lui mecircme associeacute agrave son compte au preacutealable Le concept drsquoauthentification
forte (ou la validation en deux eacutetapes) a eacuteteacute deacuteveloppeacute et adopteacute par des compagnies telles que
Google Paypal Dropbox Twitter FIDO [77] est un systegraveme qui a tregraves bien reacuteussi la mise en œuvre
du concept de lrsquoauthentification forte
3122 Authentification unique multi-domaine (SSO)
Dans une communauteacute RSE qui regroupe plusieurs entreprises lrsquoidentiteacute drsquoun acteur doit ecirctre
valideacutee aupregraves de chaque entreprise qui possegravede des ressources qui inteacuteressent lrsquoacteur Cela signifie
que lrsquoacteur en question doit srsquoauthentifier plusieurs fois avec la mecircme identiteacute ce qui constitue une
redondance qui peut nuire agrave la motivation collaborative de lrsquoacteur en question Ainsi il est plus pra-
tique pour un acteur de srsquoauthentifier une seule fois afin drsquoacceacuteder agrave plusieurs ressources (plusieurs
fois) tout en srsquoeacutepargnant de multiples proceacutedures drsquoauthentification Cette derniegravere configuration est
lrsquoideacutee fondatrice du concept de lrsquoauthentification unique ldquoSSOrdquo Single Sign On Parmi les protocoles
SSO les plus connus on distingue le protocole OpenID le protocole OAuth et le protocole SAML
44
31 Gestion des identiteacutes numeacuteriques collaboratives
OpenID
Le protocole OpenID 20 [162 110] fournit agrave un utilisateur un identifiant OpenID speacutecifique lui
permettant de srsquoidentifier aupregraves des sites compatibles ie supportant le protocole Un utilisateur
peut creacuteer lui mecircme son propre OpenID et le mettre sur un serveur vers lequel seront redirigeacutes les
services consommateurs 29 Il peut eacutegalement utiliser des fournisseurs drsquoidentiteacutes OpenID existants
comme Yahoo AOL Google Orange etc
La partie droite de la figure 33 illustre le mode de fonctionnement du protocole OpenID La
principale speacutecificiteacute reacuteside dans le fait que lrsquoapplication du cocircteacute client (navigateur web) se charge
de confirmer lrsquoauthenticiteacute de lrsquoutilisateur vis-agrave-vis du fournisseur de services agrave chaque fois que ce
dernier le reacuteclame et ce par le biais de cookies 30
FIGURE 33 ndash OAuthOpenID authentification [110]
29 Les utilisateurs souhaitant eacutelaborer de maniegravere autonome leur propre OpenID peuvent se contenter drsquoun simplefichier texte dans lequel sont enregistreacutees les informations concernant leur identiteacute
30 https toolsietforg
45
Chapitre 3 Eacutetat de lrsquoart
OAuth
OAuth 10 est un protocole drsquoautorisation standard ouvert qui permet agrave des tiers (principalement
des applications et service web) drsquoacceacuteder aux donneacutees des utilisateurs sans connaicirctre leur mot de
passe [10] OAuth peut ecirctre consideacutereacute comme un protocole de deacuteleacutegation identitaire qui donne agrave
une application tierce le droit drsquoagir au nom drsquoun utilisateur sur la base drsquoun ensemble (eacuteventuel-
lement restreint) de ses attributs identitaires En effet OAuth permet de notifier un fournisseur de
ressources (par exemple Twitter) que le proprieacutetaire de la ressource accorde la permission agrave un tiers
(par exemple une application de e-commerce) drsquoacceacuteder agrave ses informations (par exemple la liste de
contacts) La particulariteacute de OAuth est qursquoil est adapteacute aux services qui ne sont pas forceacutement des
applications web comme des applications bureautiques des appareils mobiles des set-top box (Box
ou deacutecodeur TV)[9]
Le processus drsquoautorisation se base sur une requecircte qui redirige le proprieacutetaire vers son fournis-
seur OAuth ougrave sont stockeacutees les donneacutees agrave utiliser Le mode de fonctionnement du protocole OAuth
est illustreacute sur la partie gauche de la figure 33
Discussion
OAuth et OpenID partagent beaucoup de proprieacuteteacutes agrave savoir la gestion drsquoidentiteacute la deacutecentralisa-
tion la redirection entre sites La principale diffeacuterence entre OAuth et OpenID est que OAuth permet
agrave un tiers drsquoacceacuteder agrave des donneacutees proteacutegeacutees avec une granulariteacute controcircleacutee par le proprieacutetaire de
ces donneacutees
La question qui reacutesume le principal souci avec lrsquoutilisation des protocoles SSO est ldquoAgrave quel point
lrsquoutilisateur peut confier ses informations agrave un fournisseur SSO rdquo De plus du point de vue du four-
nisseur de services les protocoles SSO (et en particulier OpenID) ne preacutesentent aucune garantie sur
lrsquoauthenticiteacute des informations sur lrsquoutilisateur agrave authentifier En outre la redirection entre plusieurs
sites expose lrsquoutilisateur au risque de tiers malveillants eg le Phishing Ainsi un cadre de confiance
est neacutecessaire pour eacuteviter les limites des protocoles SSO Dans la section suivante nous preacutesenterons
la notion de feacutedeacuteration qui permet de reacuteduire le risque drsquointeraction avec les tiers malveillants tout
en preacuteservant lrsquoagiliteacute en matiegravere de proceacutedure drsquoauthentification offerte par les approches SSO
3123 Authentification feacutedeacutereacutee
Un des problegravemes de lrsquoauthentification unique concerne le manque de garantie concernant lrsquoau-
thenticiteacute des informations drsquoidentiteacute communiqueacutees par le fournisseur de lrsquoidentiteacute Le problegraveme
peut avoir un impact neacutegatif sur les deux parties le client SSO (ie le fournisseur de services) et
lrsquoutilisateur Lrsquoutilisateur risque une utilisation abusive de ses informations par son fournisseur SSO
Par ailleurs le client SSO ne peut pas srsquoassurer de lrsquoidentiteacute fournie car il ne connaicirct pas le fournis-
seur de cette derniegravere Pour remeacutedier agrave ces problegravemes une solution peut ecirctre la mise en place drsquoune
feacutedeacuteration qui peut ecirctre consideacutereacutee comme un peacuterimegravetre de confiance mutuelle entre domaines (ie
entreprises) Les conventions entre partenaires peuvent ecirctre eacutetablies au moyen de politiques per-
46
31 Gestion des identiteacutes numeacuteriques collaboratives
mettant drsquoencadrer les interactions entre membres et par ailleurs drsquoinstaller un cadre de confiance
notamment concernant les informations identitaires inter-domaines Ainsi la feacutedeacuteration [80] est une
approche tregraves inteacuteressante pour faciliter et certifier le partage drsquoinformations dans un environnement
collaboratif heacuteteacuterogegravene tel qursquoun RSE Un exemple de gestion des identiteacutes feacutedeacutereacutees est le standard
SAML [137] proposeacute par OASIS
SAML
Deacuteveloppeacute par OASIS 31 SAML (Security Assertions Mark-up Language) est un standard de feacutedeacute-
ration drsquoidentiteacute baseacute sur le langage XML Comme illustreacute sur la figure 34 SAML permet drsquoeacutetablir un
pont entre un acteur un fournisseur de services et un fournisseur drsquoidentiteacute Lrsquoacteur demande drsquoaccegraves
agrave une ressource aupregraves du fournisseur de services ce dernier exige une certification de lrsquoidentiteacute de
lrsquoacteur dont le protocole SAML se chargera de lui fournir Pour cela lrsquoacteur doit drsquoabord srsquoauthen-
tifier aupregraves de son fournisseur drsquoidentiteacute Une fois la phase drsquoauthentification de lrsquoacteur aupregraves de
son fournisseur drsquoauthentification reacuteussie SAML transfegravere au fournisseur de services une affirmation
concernant lrsquoauthenticiteacute identiteacute de lrsquoacteur en question et ce quel que soit le protocole drsquoauthenti-
fication utiliseacute par le fournisseur drsquoidentiteacute Plus preacuteciseacutement SAML nrsquoindique pas au fournisseur de
services le protocole drsquoauthentification utiliseacute En reacutesumeacute SAML est comme un contrat drsquoassurance
entre diffeacuterents partenaires drsquoougrave la deacutefinition de la notion de feacutedeacuteration Cependant le fait de ca-
cher le meacutecanisme utiliseacute pour lrsquoauthentification peut nuire agrave la qualiteacute de la collaboration dans un
environnement RSE dans le sens ougrave une telle information est neacutecessaire afin de juger lrsquointeacutegriteacute des
entiteacutes avec lesquelles une entreprise collabore Par exemple une entreprise peut deacutecider de ne pas
collaborer avec les entreprises utilisant le systegraveme Loginmot-de-passe car elle le considegravere comme
eacutetant tregraves vulneacuterable
Diverses normes de feacutedeacuteration sont baseacutees sur le standard SAML par exemple Liberty Alliance
ID-FF ID-WSF et WS-Federation
WS-Federation
WS-Federation est une des normes de feacutedeacuteration baseacutee sur SAML preacutesenteacutee par Microsoft et IBM
dans lrsquoarticle [57] en 2002 deacutecrivant un guide pour lrsquoeacutelaboration drsquoun ensemble de speacutecifications de
seacutecuriteacute des services-Web incluant WS-Security WS-Policy WS-Trust WS-Federation WS-Privacy
WS-Authorization et WS-SecureConversation
WS-Security est le cadre global qui deacutefinit les fonctions de base pour assurer lrsquoauthenticiteacute lrsquoin-
teacutegriteacute et la confidentialiteacute des messages en se basant sur lrsquoutilisation de jetons de seacutecuriteacute Afin
drsquoeacutechanger des messages de maniegravere seacutecuriseacutee WS-SecurityPolicy permet drsquoeacutetablir la description
des exigences de seacutecuriteacute et ce par lrsquoeacutevaluation du type de jetons accepteacutes
WS-Trust est le service fondamental des feacutedeacuterations du type WS-federation Il gegravere la gestion
des jetons de seacutecuriteacute Il deacutefinit des protocoles pour deacutelivrer renouveler et annuler des jetons WS-
31 Organization for the Advancement of Structured Information Standards (OASIS) est un consortium mondial agrave butnon lucratif fondeacute en 1993 Il a conduit le deacuteveloppement et lrsquoadoption de normes (standards) de commerce eacutelectronique
47
Chapitre 3 Eacutetat de lrsquoart
FIGURE 34 ndash SAML
Security et ce au moyen drsquoeacutechange de messages seacutecuriseacutes agrave travers des services web Pour assurer la
gestion de messages entre parties distribueacutees WS-Trust se base sur un module drsquoeacutechange de jetons
(sous forme de requecirctereacuteponse) [4] appeleacute Security Token Service (STS) Ces jetons de seacutecuriteacute sont
deacutecrits par WS-SecurityPolicy et utiliseacutes par WS-Security
En effet un STS peut ecirctre consideacutereacute comme le garant ou lrsquointermeacutediaire de la relation de confiance
entre les diffeacuterentes parties drsquoune interaction drsquoeacutechange collaboratif agrave savoir le demandeur drsquoaccegraves
principal (acteur) le fournisseur de services (FS) et le fournisseur drsquoidentiteacute (FI) Le rocircle du STS est
de geacuterer lrsquointeropeacuterabiliteacute entre ces diffeacuterentes parties dans le cas ougrave elles adoptent des politiques
diffeacuterentes Le STS se charge ainsi de fournir au FS un jeton certifiant lrsquoidentiteacute de lrsquoacteur authentifieacute
par un FI comme crsquoest le cas dans SAML Plus preacuteciseacutement le STS convertit localement les jetons
issus de la part drsquoun FI au format supporteacute par les fournisseurs de services (cibleacutes)
Le service WS-Federation est une extension de WS-Trust [3] dans le sens ougrave il se base sur la faci-
liteacute drsquoeacutechange des jetons de seacutecuriteacute assureacute par les STSs afin drsquoeacutetablir un contexte de confiance entre
des environnements heacuteteacuterogegravenes En effet WS-Federation est un cadre plus global de la notion de
feacutedeacuteration que WS-Trust La valeur ajouteacutee par WS-Federation est qursquoagrave travers ses extensions de lrsquoen-
semble des protocoles WS-Trust il permet agrave ce dernier drsquointeacutegrer des attributs suppleacutementaires (eg
un pseudonyme) aux jetons STSs Cela peut ecirctre utile quand il est utiliseacute avec des claims-authorization
services 32 dans la perspective de preacuteserver la confidentialiteacute (privacy) des acteurs agrave travers les fron-
tiegraveres des organisations feacutedeacutereacutees Par exemple dans le cas ougrave le fournisseur de services reacuteclame (agrave
travers des politiques de controcircle drsquoaccegraves) certains attributs drsquoidentiteacute drsquoun acteur neacutecessaires (pour
son autorisation) le fournisseur drsquoidentiteacute peut veacuterifier que le profil de lrsquoacteur en question est adeacute-
quat (dispose des attributs) et certifier cela au FS sans lui divulguer lrsquoidentiteacute de lrsquoacteur en question
32 Lrsquoautorisation Claims-based est une approche dans laquelle les deacutecisions drsquoautorisation drsquoaccegraves se font par rapportagrave une logique arbitraire drsquoautorisation qui se base sur des donneacutees contenues dans des claims (packages qui contiennentdes informations sur le profil drsquoun acteur)
48
32 Controcircle drsquoaccegraves
FIGURE 35 ndash WS-Trust [4]
Discussion
Nous avons besoin drsquoune approche de feacutedeacuteration flexible dans le sens ougrave elle sera plus ouverte agrave
la diversiteacute en matiegravere de protocole drsquoauthentification En effet nous consideacuterons que dans un envi-
ronnement ouvert tel qursquoun RSE la possibiliteacute qursquoune entreprise puisse preacuteserver son meacutecanisme
drsquoauthentification encourage et facilite la collaboration interentreprises Cependant le problegraveme
drsquoheacuteteacuterogeacuteneacuteiteacute entre les meacutecanismes drsquoauthentification des entreprises sera toujours preacutesent Par
conseacutequent nous devons trouver une alternative agrave un systegraveme de feacutedeacuteration commun baseacute sur un
meacutecanisme de deacuteleacutegation de certification et redirection entre plusieurs parties (STS) Par ailleurs
il est important de reacuteduire la charge drsquoadministration du fournisseur drsquoidentiteacute de telle sorte qursquoil
ne soit pas solliciteacute pour chaque requecircte de demande drsquoaccegraves afin de certifier lrsquoidentiteacute du sujet de
cette derniegravere Dans la section suivante nous allons nous tourner vers le controcircle drsquoaccegraves dans les
environnements collaboratifs
32 Controcircle drsquoaccegraves
Dans la litteacuterature de nombreux travaux dans le domaine du controcircle drsquoaccegraves existent afin de
reacutepondre aux diffeacuterents besoins rencontreacutes au fil des anneacutees avec lrsquoeacutevolution des outils informatiques
et leurs utilisations Lrsquoideacutee principale dans la conception drsquoun meacutecanisme de controcircle drsquoaccegraves est de
speacutecifier un ensemble de regravegles agrave travers un scheacutema drsquoautorisation Ces regravegles indiquent quelles
actions sont autoriseacutees (ou non-autoriseacutees) vis-agrave-vis drsquoun acteur sur de(s) ressource(s) selon un
ensemble preacuteeacutetabli drsquoobjectifs de seacutecuriteacute [170]
Dans un systegraveme drsquoinformation le noyau drsquoune regravegle de controcircle drsquoaccegraves est composeacute de trois
entiteacutes principalement un sujet (lrsquoentiteacute active) et un objet (lrsquoentiteacute passive) Ces deux entiteacutes sont
accompagneacutees drsquoune action qui indique le but de la requecircte du sujet aupregraves de la ressource en ques-
49
Chapitre 3 Eacutetat de lrsquoart
tion Ensemble les trois composants le sujet lrsquoobjet et lrsquoaction sont appeleacutes la cible drsquoune regravegle de
controcircle drsquoaccegraves
Apregraves une proceacutedure drsquoauthentification drsquoun sujet et la reacuteception des informations concernant la
cible de sa requecircte le composant de controcircle drsquoaccegraves accorde ou refuse la demande en se basant sur
les informations fournies et lrsquoensemble des regravegles de controcircle drsquoaccegraves relieacutees au sujet ou agrave la cible de
la requecircte Un ensemble de regravegles ayant un critegravere commun (eg le sujet) est appeleacute politique de
controcircle drsquoaccegraves
Dans cette section nous allons en premier introduire deux paradigmes de modeacutelisation drsquoune
politique de controcircle drsquoaccegraves ainsi que les principaux composants neacutecessaires agrave leur construction
Nous allons ensuite eacutetudier les principaux modegraveles de politiques de controcircle drsquoaccegraves
321 Paradigmes de construction drsquoun langage de politique
Une politique de controcircle drsquoaccegraves est un ensemble de regravegles qui deacuteterminent les droits drsquoaccegraves
vis-agrave-vis drsquoun utilisateur authentifieacute Une politique peut par ailleurs ecirctre eacuteventuellement soumise agrave
certaines conditions par rapport agrave un certain objectif deacutefini par le contexte Dans la litteacuterature les
regravegles de controcircle drsquoaccegraves sont geacuteneacuteralement deacutefinies sur la base de deux modegraveles agrave savoir Eacuteveacutene-
ment Condition Action ou Condition Action [91]
Le modegravele Condition Action est baseacute sur le paradigme suivant Si (Condition) Alors (Action)
Ce qui signifie que lrsquooccurrence drsquoune action est conditionneacutee par une ou plusieurs contraintes Si la
condition est satisfaite alors lrsquoaction peut se produire Quant au premier modegravele Eacuteveacutenement Condi-
tion Action (ECA) lrsquoaction est deacuteclencheacutee par lrsquooccurrence drsquoun eacuteveacutenement preacutedeacutefini En drsquoautres
termes quand un eacuteveacutenement se produit les contraintes qui conditionnent la validation de lrsquoaction
relieacutee sont eacutevalueacutees par le meacutecanisme de controcircle drsquoaccegraves
Contrairement au paradigme CA le paradigme ECA est capable de consideacuterer le contexte en
temps reacuteel dans le processus de controcircle drsquoaccegraves vu qursquoil est baseacute sur des eacuteveacutenements infeacutereacutes agrave partir
des attributs de lrsquoenvironnement Cela signifie que gracircce au paradigme ECA les changements du
contexte peuvent ecirctre pris en compte dans les prises de deacutecisions Le paradigme ECA a eacuteteacute adopteacute
dans de nombreux langages de politiques comme PDL [131] et Ponder [63]
Afin drsquoadapter notre modegravele de politiques aux diffeacuterentes caracteacuteristiques des RSE agrave savoir le
contexte dynamique la co-proprieacuteteacute de ressources la consistance de la gestion des politiques centreacutee
sur lrsquoutilisateur et lrsquoaspect de partage temporaire nous avons eacutetudieacute les concepts suivants
bull Permission la regravegle qui autorise lrsquoaccegraves vis-agrave-vis drsquoun acteur sur une cible preacutecise Dans un
environnement collaboratif ouvert il est plus judicieux que lrsquoaccegraves agrave toute ressource parta-
geacutee soit par deacutefaut interdit et que les permissions soient les exceptions qui deacutefinissent les
autorisations drsquoaccegraves aux ressources
bull Interdiction en logique deacuteontique une interdiction est le contraire drsquoune permission Une
regravegle de prohibition [98 28] interdit lrsquoaccegraves agrave un acteur donneacute vis-agrave-vis drsquoune ressource don-
neacutee Dans le contexte RSE une interdiction peut servir agrave suspendre une autorisation drsquoaccegraves
deacutefinit dans le systegraveme ou la revendiquer dans le cas de multiples proprieacutetaires
50
32 Controcircle drsquoaccegraves
bull Eacuteveacutenement capteacute par un systegraveme de supervision (monitoring) en temps reacuteel un eacuteveacutenement
repreacutesente tout ce qui se produit et qui est susceptible de changer directement ou indirec-
tement lrsquoeacutetat de lrsquoenvironnement du systegraveme Par exemple lrsquoarriveacutee drsquoun nouvel utilisateur
ou une nouvelle ressource la reacuteception drsquoune requecircte de demande drsquoaccegraves Ainsi le principal
avantage derriegravere la consideacuteration des eacuteveacutenements est la possibiliteacute de prise en consideacuteration
des changements dynamiques en temps reacuteel dans le contexte de collaboration
bull Condition Une condition est la contrainte sous laquelle une permission est approuveacutee Prati-
quement une condition est un preacutedicat qui peut ecirctre eacutevalueacute agrave vrai faux ou pas applicable [91]Une condition est souvent relative au contexte eg le temps la position geacuteographique le type
drsquoapplication etc
bull Abstraction lrsquoabstraction drsquoune partie de la cible (ou toute la cible) composant une politique
consiste agrave la deacutefinir drsquoune maniegravere plus geacuteneacuteraliseacutee en se basant sur un critegravere commun
comme crsquoest le cas pour le ldquorocirclerdquo qui est lrsquoabstraction du ldquosujetrdquo drsquoune cible dans RBAC ou les
vues (ensemble de ressources) dans Or-BAC
bull Formalisation Ce critegravere indique si le langage adopte une formalisation logique (de premier
ordre en geacuteneacuteral) ou structureacutee (sous forme XML en geacuteneacuteral) Cette proprieacuteteacute drsquoune politique
a un impact direct sur la capaciteacute de veacuterification automatique de la coheacuterence des regravegles de
la politique
bull Veacuterification Cette proprieacuteteacute concerne les modegraveles ayant un formalisme logique eg Event-
B [13] Alloy [97] Prolog [55] Situation-calculus [124] Event-Calculus [147] La veacuterification
peut ecirctre effectueacutee gracircce agrave des outils de raisonnement ou agrave la main
bull Deacuteleacutegation signifie que le partage des droits sur les ressources est baseacute sur une peacuteriode
limiteacutee dans le temps
bull Temps revient agrave la capaciteacute du langage de politiques agrave geacuterer le temps dans la mise en
application des regravegles drsquoautorisation
Nous consideacuterons ces concepts comme eacutetant primordiaux pour notre modegravele de controcircle drsquoaccegraves
destineacute aux plate-formes RSEs Dans ce qui suit nous allons eacutetudier lrsquoeacutetat de lrsquoart des politiques de
controcircle drsquoaccegraves comment ils reacutepondent agrave ces besoins
322 Politiques de controcircle drsquoaccegraves classiques et modegraveles associeacutes
Depuis le modegravele de la matrice drsquoaccegraves de Lampson proposeacute vers la fin des anneacutees 60 plusieurs
modegraveles de controcircle drsquoaccegraves ont vu le jour et on distingue [101 37] les politiques discreacutetion-
naires (DAC Discretionary Access Control) [173] les politiques obligatoires (MAC mandatory access
control) [171] ou encore les politiques agrave base de rocircle (RBAC Role Based Access Control) [172 99]qui sont mieux adapteacutes aux organisations professionnelles En fonction des informations requises
pour la prise de deacutecision une politique drsquoautorisation est mise en œuvre sous la forme drsquoun modegravele
de seacutecuriteacute En effet un modegravele de seacutecuriteacute est un formalisme selon lequel les politiques de seacutecuriteacute
sont repreacutesenteacutees (compreacutehension) veacuterifieacutees (consistance) et appliqueacutees (exeacutecution) pour reacutepondre
aux objectifs de seacutecuriteacute du systegraveme [71] Diffeacuterents modegraveles de politiques ont eacuteteacute proposeacutes Les
51
Chapitre 3 Eacutetat de lrsquoart
modegraveles agrave description formelle comme Lampson [119] HRU [93] et Take-Grant [102] sont plutocirct
des modegraveles geacuteneacuteriques ie pouvant srsquoappliquer agrave toutes sortes de politiques En outre nous avons
quelques modegraveles speacutecifiques tels que les modegraveles de treillis [30 25] muraille de chine [43] agrave base
de rocircleorganisationeacutequipe [169 61 18]
FIGURE 36 ndash MAC et DAC vue globale [89]
3221 DAC
Une politique drsquoautorisation sur une ressource est dite discreacutetionnaire dans le cas ougrave elle est com-
plegravetement geacutereacutee par lrsquoutilisateur qui creacutee cette ressource Ce dernier est donc capable de transmettre
librement les droits drsquoaccegraves de la ressource qursquoil deacutetient agrave nrsquoimporte quel autre sujet De plus il est
le seul agrave pouvoir deacutetruire cette ressource
DAC a eacuteteacute largement utiliseacute dans le milieu industriel et commercial [101] Cependant DAC
souffre du problegraveme de fuite drsquoinformations Cette limite est due au fait que le modegravele DAC nrsquoimpose
aucune restriction concernant la copie des objets En drsquoautres termes on ne peut pas empecirccher un
sujet ayant le droit drsquoaccegraves agrave une ressource drsquoen faire une copie et par conseacutequent la partager (en
tant que proprieacutetaire) avec drsquoautres sujets Cela signifie qursquoau sein drsquoun environnement gouverneacute par
une politique discreacutetionnaire il faut faire confiance agrave tous les sujets qui srsquoeacutechangent des informa-
tions Ceci est loin drsquoecirctre eacutevident notamment avec les vulneacuterabiliteacutes des outils informatiques utiliseacutes
le plus souvent par des utilisateurs non expeacuterimenteacutes Un exemple simple est le cheval de Troie [71]Crsquoest pour remeacutedier agrave cette limite de confidentialiteacute que le modegravele de controcircle drsquoaccegraves obligatoire a
eacuteteacute conccedilu En plus du problegraveme de fuite drsquoinformation un autre problegraveme avec lrsquoutilisation des poli-
tiques discreacutetionnaire est ducirc agrave leur non-flexibiliteacute ce qui complique davantage leur administration
En effet pour lrsquoajout de toute entiteacute active dans le systegraveme les regravegles doivent ecirctre redeacutefinies [71]
3222 MAC
Contrairement au systegraveme discreacutetionnaire les politiques obligatoires (ou mandataires multi-
niveaux de treillis) sont deacutefinies non pas par le proprieacutetaire de la ressource mais par lrsquoadministrateur
du systegraveme dans lequel les ressources sont partageacutees Plus preacuteciseacutement les politiques MAC se basent
52
32 Controcircle drsquoaccegraves
sur des eacutetiquettes de classification du niveau de sensibiliteacute de la ressource et du niveau drsquointeacutegriteacute
du sujet
Une eacutetiquette de seacutecuriteacute est affecteacutee en tant que niveau drsquohabilitation agrave chaque sujet et en guise
de classification de la sensibiliteacute pour chaque objet Ainsi les permissions sont baseacutees sur une re-
lation de comparaison entre le niveau de sensibiliteacute de la ressource demandeacutee avec le niveau de
fiabiliteacute du sujet en question Les modegraveles de politiques obligatoires sont composeacutes de deux grandes
cateacutegories ceux orienteacutes confidentialiteacute Bell-Lapabula [25] et les murailles de Chine [30] et ceux
orienteacutes inteacutegriteacute Biba [30]Dans les politiques de confidentialiteacute du type Bell-LaPadula le controcircle drsquoaccegraves se fait sur la base
de deux proprieacuteteacutes
bull la proprieacuteteacute simple qui stipule qursquoun sujet ne peut pas lire une information labelliseacutee drsquoun
niveau supeacuterieur au sien
bull la proprieacuteteacute eacutetoile interdit agrave un sujet de modifier (eacutecrire) dans une ressource de plus bas niveau
Par ailleurs on parle aussi [19] de proprieacuteteacute de tranquility qui peut ecirctre forte ou faible pour
respectivement permettre la mise agrave jour des eacutetiquettes de seacutecuriteacute en cours drsquoexeacutecution du systegraveme
de seacutecuriteacute ou pas Cette proprieacuteteacute connue aussi sous ldquohigh water mark principlerdquo initialise le niveau
de sensibiliteacute drsquoune ressource dans une session au plus bas niveau et le met agrave jour au fur et agrave mesure
en fonction des besoins de seacutecuriteacute
Quant au modegravele de Muraille de Chine sa principale vocation est la seacuteparation des entiteacutes colla-
boratives par le cloisonnement de cercles drsquoeacutechanges drsquoinformations sur la base des conflits drsquointeacuterecircts
En effet les ressources appartenant agrave des entreprises concurrentes et ne pouvant pas ecirctre acceacutedeacutees
par le mecircme utilisateur sont enregistreacutees dans une classe de conflit drsquointeacuterecirct (CIC 33) En drsquoautres
termes quand un utilisateur accegravede agrave une ressourceX appartenant agrave une entreprise donneacutee et qursquoil
tente drsquoacceacuteder ensuite agrave drsquoautres ressources qui font partie de la mecircme classe CIS lrsquoaccegraves lui sera
refuseacute et ce mecircme srsquoil avait initialement le droit drsquoacceacuteder agrave ces ressources
Concernant le modegravele drsquointeacutegriteacute de Biba il est assez similaire agrave celui de Bell-LaPadula sur le plan
conceptuel La principale diffeacuterence entre les deux modegraveles est que le modegravele de Biba met davantage
lrsquoaccent sur lrsquoaspect drsquointeacutegriteacute de ressource que le modegravele Bell-Lapabula Pour mettre lrsquoaccent sur
lrsquointeacutegriteacute ce meacutecanisme fonctionne suivant le scheacutema inverse que celui de Bell-LaPadula Ainsi
un sujet peut lire des objets drsquoun niveau supeacuterieur mais ne peut eacutecrire sur des objets de niveaux
infeacuterieurs
Ces modegraveles multi-niveaux MAC ont montreacute leur applicabiliteacute notamment dans les domaines res-
treints et feacutedeacutereacutes par la confiance comme lrsquoarmeacutee et le renseignement et ce gracircce agrave lrsquoimmuniteacute qursquoils
assurent contre les chevaux de Troie Cependant dans lrsquoenvironnement ouvert du RSE les modegraveles
de politiques obligatoires souffrent de la limite de deacutegradation des niveaux drsquointeacutegriteacute [71] En effet
suite agrave une deacutegradation de niveau de confidentialiteacute (modegravele Biba) ou agrave sa hausse qui peut parfois
converger vers le niveau de confidentialiteacute maximal (modegravele Bell-LaPabula) un problegraveme de classi-
fication est clairement identifieacute En outre les modegraveles multi-niveaux neacutecessitent une administration
unique et centraliseacutee ce qui ne convient pas vraiment agrave la nature distribueacutee des communauteacutes RSE ougrave
33 conflict of interest class
53
Chapitre 3 Eacutetat de lrsquoart
plusieurs entreprises indeacutependantes collaborent Une autre famille des modegraveles de controcircle drsquoaccegraves
est baseacutee sur le rocircle des sujets des requecirctes de demande drsquoaccegraves agrave savoir la famille ldquoRBACrdquo
3223 Politiques de controcircle drsquoaccegraves baseacutees sur le rocircle ndashRBAC-
Dans les politiques RBAC le rocircle est une faccedilon de modeacuteliser un ensemble de fonctions agrave la charge
drsquoune entiteacute active au sein drsquoune organisation Chacune des fonctions deacutefinissant le rocircle correspond
agrave un ensemble de tacircches qui donnent droit agrave certains privilegraveges au sein de lrsquoorganisation En drsquoautres
termes un rocircle est agrave lrsquoeacutegard drsquoun utilisateur au sein drsquoune entreprise lrsquoabstraction drsquoun ensemble
de permissions drsquoaccegraves Par deacutefinition un rocircle est associeacute agrave un certain nombre de droits drsquoaccegraves
aux ressources proteacutegeacutees Ainsi dans une entreprise ougrave les rocircles sont preacutedeacutefinis la deacutefinition des
permissions agrave lrsquoeacutegard drsquoun acteur donneacute se fait par lrsquoaffectation de ce dernier agrave un ou plusieurs rocircles
(figure 37) lui donnant accegraves aux droits associeacutes aux rocircles en question
Privilegraveges
droit 1
droit 2
droit 3
droit 4
hellip
- droit nRocircle
= droit(124)
-
-
-
-
-
-
-
FIGURE 37 ndash RBAC vue globale
Le modegravele initial de RBAC RBAC96 a eacuteteacute proposeacute par Sandhu et al dans [172] Eacutetant initiale-
ment composeacute de utilisateur permission sessions attribution et activation de rocircle RBAC0 a eacuteteacute en
premier lieu ameacutelioreacute pour supporter la hieacuterarchie des rocircles (dans RBAC1) Ensuite des contraintes
drsquoactivation de rocircle ont eacuteteacute rajouteacutees dans la version RBAC2 [75] (figure 38)
Les rocircles peuvent ecirctre structureacutes selon une hieacuterarchie qui reflegravete une ligne drsquoautoriteacute multi-
niveaux entre certains rocircles dans lrsquoentreprise Cela se fait par lrsquoheacuteritage des permissions tout en
eacutevitant les conflits entre les rocircles Par exemple dans un laboratoire de recherche le rocircle doctorant
peut heacuteriter les permissions du rocircle membre_du_laboratoire La gestion des conflits (statique ou dy-
namique) se fait gracircce agrave la seacuteparation des devoirs
Dans RBAC il existe en effet la notion de session gracircce agrave laquelle les rocircles drsquoun utilisateur sont
activeacutes ou deacutesactiveacutes en fonction de contraintes dites de seacuteparation des devoirs Le rocircle activeacute deacute-
54
32 Controcircle drsquoaccegraves
FIGURE 38 ndash Modegraveles RBAC [157]
termine les autorisations qui sont disponibles pour lrsquoutilisateur agrave un moment donneacute au cours de la
session Ceci peut ecirctre utile dans la perspective de seacuteparer les devoirs drsquoune maniegravere dynamique
Le principe de seacuteparation des devoirs vise agrave reacuteduire le risque de compromettre le systegraveme de seacute-
curiteacute par un utilisateur en limitant ses droits leacutegitimes par le moyen de contraintes suppleacutemen-
taires [27 16 186] Dans cette politique obligatoire (ldquoseparation of dutiesrdquo) introduite par Clark et
Wilson [54] deux fonctions (ou plus) affecteacutees au mecircme utilisateur peuvent ecirctre compleacutementaires
mais pas ecirctre utiliseacutees en mecircme temps Par conseacutequent si lrsquoutilisateur veut utiliser une permission
lieacutee agrave un des deux rocircles il devra deacutesactiver lrsquoautre(s) rocircle(s) De plus afin de garantir lrsquointeacutegriteacute
des ressources lrsquoenjeu principal dans lrsquoattribution des rocircles dans RBAC est drsquoassocier les droits mi-
nimums agrave un utilisateur pour la reacutealisation drsquoune opeacuteration donneacutee ie ldquoleast privilegerdquo agrave travers le
rocircle correspondant
RBAC a eacuteteacute initialement conccedilu pour geacuterer le controcircle drsquoaccegraves (en optimisant lrsquoadministration des
politiques) au sein drsquoune mecircme entreprise Une entreprise composeacutee de plusieurs personnes peut
ecirctre consideacutereacutee comme un environnement collaboratif Cependant cet environnement collaboratif
interne reste restreint dans le sens ougrave le mode de fonctionnement de lrsquoentreprise avec les tacircches
affecteacutees agrave chaque membre de lrsquoentreprise sont connus agrave lrsquoavance RBAC a eacutegalement eacuteteacute utiliseacute dans
des environnements plus ouverts avec des structures collaboratives davantage heacuteteacuterogegravenes tels que
les eacutequipes et les milieux multi-organisationnel
RBAC Extensions collaboratives
De nombreux travaux inspireacutes du modegravele RBAC se sont orienteacutes vers des environnements colla-
boratifs comme les eacutequipes les organisations et les reacuteseaux sociaux On trouve par exemple Organi-
zation Based Access Control OrBAC [111] Multi-organization Based Access (control Multi-OrBAC) [72]
55
Chapitre 3 Eacutetat de lrsquoart
Team based access control [185 195 83] Relationship-based access control [53]
Dans le modegravele des politiques baseacutees sur la notion drsquoeacutequipe TMAC lrsquoentiteacute principale est lrsquoldquoeacutequiperdquo
qui consiste en une abstraction drsquoun ensemble de sujets dans une eacutequipe de collaboration ayant
un objectif commun La speacutecificiteacute dans ce modegravele est que lrsquoattribution des rocircles et lrsquoactivation des
permissions sont geacutereacutees seacutepareacutement Plus preacuteciseacutement un utilisateur obtient par le biais de son
appartenance agrave une eacutequipe le droit drsquoaccegraves aux ressources de lrsquoeacutequipe Cependant le droit drsquoaccegraves
octroyeacute agrave lrsquoutilisateur deacutependra de son rocircle ainsi que lrsquoactiviteacute courante de lrsquoeacutequipe en question
Par exemple [84] un meacutedecin est habiliteacute agrave prescrire des traitements en revanche il se peut que la
politique de lrsquohocircpital ougrave il exerce lui permette de ne traiter uniquement que les patients dont il dispose
drsquoun historique de suivi Gracircce agrave TMAC cette politique peut ecirctre mise en œuvre Il suffit drsquoassigner
le meacutedecin agrave lrsquoeacutequipe de traitement du patient ainsi il sera en mesure drsquoacceacuteder aux informations de
suivi du patient Agrave ce dernier niveau le rocircle du meacutedecin peut ecirctre utiliseacute pour deacutefinir le niveau de
granulariteacute de lrsquoaccegraves aux informations du patient
Quant aux modegraveles OrBAC et Multi-OrBAC ils sont baseacutes sur une conception qui va au-delagrave de
lrsquoabstraction du sujet par un rocircle ou une eacutequipe En effet dans OrBAC les eacuteleacutements de la cible drsquoune
regravegle agrave savoir le sujet la ressource et lrsquoaction sont respectivement abstraits par le rocircle la vue et
lrsquoactiviteacute OrBAC permet de deacutefinir plusieurs types de regravegle de controcircle drsquoaccegraves agrave savoir des permis-
sions des interdictions des obligations ainsi que des deacuteleacutegation En outre OrBAC supporte la modeacuteli-
sation du contexte dans les regravegles de controcircle drsquoaccegraves Par ailleurs une regravegle dans OrBAC peut avoir
plusieurs types agrave savoir ldquoPermissionrdquo ldquoInterdictionrdquo ou ldquoObligationrdquo Ainsi une regravegle dans OrBAC
prend la forme du quintuplet Type-de-regravegle (org rocircle activiteacute vue contexte) La deacuteleacutegation est geacutereacutee
par un ensemble de preacutedicats baseacutes sur le type Permission [26] Le scheacutema de veacuterification drsquoune regravegle
est le suivant dans lrsquoorganisation org si le sujet possegravede le bon rocircle et lrsquoaction deacutesireacutee appartient
agrave lrsquoactiviteacute la ressource demandeacutee fait partie de la vue et le contexte est valideacute entre le sujet lrsquoaction
et la ressource alors le sujet peut obtenir lrsquoaccegraves demandeacute La variante Multi-OrBAC [71] est une
adaptation du modegravele OrBAC initial pour les environnements multi-organisationnel distribueacutes et heacute-
teacuterogegravenes La nouveauteacute est que lrsquoabstraction des rocircles activiteacutes et vues devient lieacutee agrave lrsquoorganisation
ie rocircleactiviteacuteressource_dans_Organisation Ainsi le modegravele drsquoune regravegle drsquoun sujet appartenant agrave
lrsquoorganisation Org1 souhaitant acceacuteder agrave une ressource appartenant agrave lrsquoorganisation Org2 devient
PermissionProhibitionObligation (Rocircle dans Org1 Activiteacute dans Org2 Vue dans Org2 Contexte dans
Org2) 34 Lrsquoimplantation de ce modegravele est baseacutee sur une administration centraliseacutee qui favorise lrsquoin-
teropeacuterabiliteacute en matiegravere de gestion des accreacuteditations dans les environnements collaboratifs
3224 Synthegravese
Dans un environnement collaboratif social le partage de ressource est geacuteneacuteralement centreacute sur
lrsquoacteur collaboratif (user-centric) [136 88 92] Le controcircle drsquoaccegraves discreacutetionnaire DAC [173] reacutepond
agrave cette caracteacuteristique vu que le partage de ressources se fait agrave la discreacutetion de lrsquoacteur qui deacutetient la
ressource En revanche les politiques DAC sont difficiles agrave administrer car il faut les remettre agrave jour
34 Lrsquoutilisation des majuscule pour chaque composant de la cible signifie qursquoil srsquoagit drsquoinstances plutocirct que variables
56
32 Controcircle drsquoaccegraves
agrave chaque fois qursquoun nouvel utilisateur rejoint une communauteacute de collaboration donneacutee De plus le
controcircle discreacutetionnaire est sensible agrave la fuite drsquoinformation et donne un pouvoir exageacutereacute aux acteurs
dont certains peuvent ecirctre malintentionneacutes et nuire ainsi agrave la seacutecuriteacute du systegraveme
Donc un besoin de controcircle sur les politiques des acteurs collaboratifs srsquoimpose Cela peut ecirctre
reacutesolu par le controcircle drsquoaccegraves obligatoire MAC qui se base sur des contraintes relieacutees au niveau drsquohabi-
litation du sujet ainsi que la classification de la sensibiliteacute de la ressource Neacuteanmoins ces contraintes
fortes pour les entreprises [71] sont difficiles agrave geacuterer dans la pratique notamment dans un cadre col-
laboratif multi-organisationnel En effet srsquoil est possible drsquoapporter une eacutevaluation pertinente sur
lrsquointeacutegriteacute de ressources au sein drsquoune mecircme entreprise cette tacircche reste beaucoup plus compliqueacutee
(et souvent source de deacutesaccords) quand il srsquoagit de plusieurs entreprises indeacutependantes eacuteventuel-
lement concurrentes De plus le niveau drsquointeacutegriteacute dans les modegraveles MAC converge facilement vers
le niveau extrecircme 35 et par conseacutequent bride la collaboration Quant agrave lrsquoadministration des poli-
tiques elle nrsquoest pas meilleure par rapport au contexte RSE que celle des politiques DAC En effet
les politiques MAC neacutecessitent des mises agrave jour souvent manuelles des labels de classifications des
ressources etou acteurs
Pour faire face agrave ce besoin drsquoadaptation aux changements freacutequents en matiegravere drsquoacteurs dans
lrsquoenvironnement RSE le modegravele RBAC [172] se preacutesente comme une meilleure alternative en reacutedui-
sant consideacuterablement cette complexiteacute de mise agrave jour de politique En effet RBAC a eacuteteacute tregraves attractif
degraves ses premiegraveres applications car il est possible de le configurer de telle sorte qursquoil supporte les po-
litiques MAC et DAC [76] Dans une politique RBAC lrsquoideacutee principale consiste agrave regrouper plusieurs
acteurs selon un mecircme critegravere drsquohabilitation de statut ou de compeacutetences pour la reacutealisation drsquoun
certain nombre de tacircches Ainsi lrsquoadministration des politiques RBAC se focalise en majeure partie
sur la gestion des rocircles Par exemple pour chaque nouvel acteur qui rejoint une communauteacute un an-
cien etou nouveau rocircle est attribueacute Cependant le modegravele RBAC initial a eacuteteacute victime de son propre
succegraves car il nrsquoest en effet pas vraiment adapteacute agrave de nombreux contextes collaboratifs dans lesquels
on a essayeacute de lrsquoutiliser [101] La principale limite du modegravele RBAC est le manque de flexibiliteacute dans
la deacutefinition des contraintes sur les rocircles de telle sorte que pour chaque restriction un nouveau rocircle
doit ecirctre deacutefini
Au fur et agrave mesure de lrsquoutilisation du modegravele RBAC dans divers domaines de nouveaux besoins
ont eacuteteacute releveacutes et ont donneacute lieu agrave de nombreuses extensions comme TMAC OrBAC et multi-Or-
BAC [185 111 72] Neacuteanmoins plusieurs limites lieacutees agrave lrsquoutilisation des politiques RBAC et ses
extensions persistent dans un environnement RSE Drsquoabord la question se pose par rapport au deacutefi
de nrsquoattribuer que le moindre-privilegravege agrave un utilisateur donneacute dans la proceacutedure drsquoaffectation de rocircle
En outre la gestion des rocircles reste une tacircche non eacutevidente car il faut une bonne connaissance du
mode de fonctionnement des entreprises avec les besoins neacutecessaires en matiegravere de personnel par
rapport aux objectifs de chaque entreprise Il a mecircme eacuteteacute deacutemontreacute par Jianfeng Lu et al dans [133]que le problegraveme de mise agrave jour des rocircles est dans certain cas lineacuteaire Neacuteanmoins dans le cas geacuteneacuteral
il srsquoagit drsquoun problegraveme de complexiteacute drsquoordre NP-complet Par ailleurs agrave lrsquoimage de lrsquoheacuteteacuterogeacuteneacuteiteacute de
lrsquoenvironnement RSE les diffeacuterents modegraveles drsquoextensions de RBAC tels que TMAC Or-BAC et Multi-
35 Maximal ou minimal en fonction du modegravele inteacutegriteacuteconfidentialiteacute
57
Chapitre 3 Eacutetat de lrsquoart
OrBAC rajoutent de la complexiteacute dans la deacutefinition des politiques de controcircle drsquoaccegraves [182] Cela
est ducirc agrave lrsquoheacuteteacuterogeacuteneacuteiteacute lieacutee agrave la maniegravere dont les entreprises deacutefinissent les rocircles et les privilegraveges
qui leurs sont associeacutes De plus ces modegraveles manquent de flexibiliteacute dans le cas de reconstruction
drsquoeacutequipe ou de reacuteorganisation hieacuterarchique drsquoune organisation
Pour reacutesumer les modegraveles X-RBAC ne peuvent pas ecirctre ldquola solutionrdquo pour notre contexte RSE
Car outre le pheacutenomegravene drsquoexplosion de rocircle et le fait que les gens changent assez freacutequemment leurs
travail dans le milieu professionnel la collaboration peut ecirctre compliqueacutee dans le cas de diffeacuterentes
seacutemantiques drsquoun mecircme intituleacute de rocircle dans deux entreprises indeacutependantes
Ainsi dans le but drsquoobtenir un cadre de collaboration fluide sur le long terme la notion du rocircle
doit ecirctre flexible de telle sorte qursquoelle puisse facilement homogeacuteneacuteiser les seacutemantiques des rocircles
entre les diffeacuterents partenaires Cela est possible avec la combinaison du rocircle avec drsquoautres attributs
de profil de collaboration eg la reacuteputation lrsquoexpeacuterience professionnelle le niveau drsquohabilitation la
position geacuteographique etc
323 Attribute Based Access Control
Selon Vincent Hu et ses collegravegues au NIST 36 ldquoAttribute-based access control (ABAC) is a flexible
approach that can implement AC policies limited only by the computational language and the richness
of the available attributes making it ideal for many distributed or rapidly changing environmentsrdquo[95]Nous nous sommes en premier lieu inspireacutes de cette deacutefinition pour eacutetudier les avantages de la
modeacutelisation ldquoABACrdquo dans notre contexte RSE
En effet vu que lrsquoidentiteacute du demandeur son rocircle ou son groupe (organisation) ne sont pas assez
suffisants pour exprimer des politiques dans un monde multi-organisationnel heacuteteacuterogegravene [95] lrsquoideacuteal
est drsquoavoir plus de liberteacute et de choix pour la deacutefinition drsquoune politique Cette motivation a eacuteteacute lrsquoideacutee
principale derriegravere la conception des politiques ABAC Comme le montre la figure 39 une politique
ABAC se base sur un mix entre certains attributs choisis drsquoune maniegravere arbitraire concernant le
demandeur drsquoaccegraves (le sujet) lrsquoobjet deacutesireacute (la ressource) ainsi que les attributs de lrsquoenvironnement
(le contexte) Un attribut prend la forme drsquoune paire Nom Valeur
Par ailleurs la modeacutelisation ABAC permet de garder les avantages des politiques classiques telles-
que DAC MAC RBAC ou Or-BAC tout en remeacutediant agrave leurs limites respectives En effet ABAC offre
plus drsquoexpressiviteacute agrave lrsquoeacutegard des composants les plus importants pour la deacutefinition drsquoune politique de
controcircle drsquoaccegraves agrave savoir le sujet lrsquoobjet et le contexte Par exemple lrsquoabstraction du sujet via un
rocircle eacutequipe ou une organisation peut ecirctre un simple attribut qui srsquoajoute agrave ceux qui deacutefinissent le
profil du sujet en question La flexibiliteacute drsquoABAC concerne eacutegalement le modegravele MAC (ie les niveaux
drsquointeacutegriteacute) et le modegravele DAC (ie les listes des identiteacutes des acteurs autoriseacutes) Dans [101] on trouve
une deacutemonstration drsquoeacutequivalence entre ABAC et les modegraveles classiques de controcircle drsquoaccegraves De plus
la modeacutelisation du contexte devient tregraves flexible car diffeacuterents attributs comme le temps lrsquoadresse
IP le type de terminal etc peuvent ecirctre facilement modeacuteliseacutes (ie sous la forme Nom Valeur) et
inteacutegreacutes dans les regravegles et les politiques de controcircle drsquoaccegraves ABAC permet en outre de reacuteunir la
36 National Institute of Standards and Technology
58
32 Controcircle drsquoaccegraves
FIGURE 39 ndash Sceacutenario de controcircle drsquoaccegraves ABAC [94]
plupart des extensions de RBAC sous un mecircme framework ABAC [101]
En outre gracircce agrave ABAC nous avons une administration moins coucircteuse des regravegles En effet afin de
modeacuteliser toutes les regravegles possibles agrave partir drsquoun ensemble drsquoattributs binaires (ie pas de reacutepeacutetition
du mecircme attribut dans la mecircme regravegle) ABAC neacutecessite 2n regravegles pour n attributs dans le pire des
cas compareacutee agrave 2n rocircles dans RBAC [117] par exemple
Nous croyons vivement agrave la compatibiliteacute et lrsquoadaptabiliteacute du modegravele ABAC agrave notre contexte
des RSEs En effet gracircce aux attributs qui modeacutelisent les regravegles de controcircle drsquoaccegraves ABAC nous
permet de reacutepondre agrave plusieurs besoins notamment lrsquoabstraction des cibles de regravegles la flexibiliteacute
de deacutefinition de conditions et obligations les politiques drsquointerdictions et la flexibiliteacute dans la gestion
des contraintes du contexte
Par rapport agrave la logique deacuteontique [108 100 60 63] qui permet de deacutefinir des regravegles drsquointer-
diction ABAC assure la faciliteacute de changement de lrsquoeacutetat drsquoune regravegle en basculant son type drsquoune
permission agrave une interdiction et ce simplement gracircce agrave la mise agrave jour de lrsquoattribut qui deacutesigne le
type de la regravegle Par ailleurs une ressource peut ecirctre la coproprieacuteteacute de plusieurs acteurs [88] faisant
59
Chapitre 3 Eacutetat de lrsquoart
partie de la mecircme entreprise ou drsquoentreprises distinctes Cela qui signifie qursquoil faut en outre prendre
en compte lrsquoaspect combinaison de regravegles et politiques de controcircle drsquoaccegraves [142 98 145 99 63] Cela
peut ecirctre bien traiteacute gracircce aux strateacutegies de combinaison de regravegles dans des ensembles de politiques
et des policySets de XACML (que nous aborderons dans ce qui suit)
324 Mise en œuvre de politiques ABAC
Dans cette section nous allons aborder lrsquoaspect de la mise en œuvre de politique de controcircle
drsquoaccegraves Nous allons nous focaliser sur la mise en œuvre drsquoun modegravele ABAC
3241 eXtensible Access Control Markup Language ldquoXACMLrdquo - un formalisme structureacute -
XACML ldquoeXtensible Access Control Markup Languagerdquo est un standard drsquoOASIS fortement lieacute agrave
lrsquoimplantation des politiques ABAC XACML [164] fournit deux facettes dans le domaine du controcircle
drsquoaccegraves agrave savoir un langage de deacutefinition de politiques et aussi un language de deacutecision (ie requecirctes
etou reacuteponses) pour le processus du controcircle drsquoaccegraves Le langage de politiques est utiliseacute pour deacutecrire
les exigences geacuteneacuterales pour le controcircle drsquoaccegraves et sert agrave deacutefinir de nouvelles fonctions types de
donneacutees logique de combinaison etc Quant au langage de requecirctereacuteponse il permet de formuler
une requecircte de demande drsquoaccegraves afin de savoir si oui ou non une action donneacutee doit ecirctre autoriseacutee
et interpregravete le reacutesultat de cette requecircte Le reacutesultat de cette requecircte inclut toujours une reacuteponse qui
permet de savoir si la demande devrait ecirctre autoriseacutee Le format de la reacuteponse prend une des quatre
valeurs suivantes Permit Deny Indeterminate (au cas ougrave de manque de paramegravetres etou erreur) 37
ou Not Applicable (le service en question ne peut pas reacutepondre agrave la requecircte)
1 Requecircte 7 Reacuteponse
2 Demande Attribut 3 Attribut5 Politique
4 Requecircte + attributs
6 Deacutecision
PEP
PIPPAP
PDP
FIGURE 310 ndash XACML vue abstraite
37 Si une erreur est survenue ou une valeur requise manquait et par conseacutequent la deacutecision ne peut ecirctre calculeacutee
60
32 Controcircle drsquoaccegraves
Lorsqursquoun acteur veut acceacuteder agrave une ressource une requecircte est eacutetablie aupregraves de lrsquoentiteacute qui
protegravege la ressource en question agrave savoir le Policy Enforcement Point (PEP) Le PEP forme de son
cocircteacute une requecircte baseacutee sur les attributs du demandeur la ressource en question lrsquoaction et drsquoautres
informations relatives agrave la demande Le PEP envoie ensuite cette demande agrave un autre point chargeacute
de la prise de deacutecision agrave savoir le Policy Decision Point (PDP) Afin de produire sa reacuteponse concer-
nant lrsquoapprobation de lrsquoaction le PDP examine la requecircte par rapport agrave un ensemble de politiques
Ensuite la reacuteponse du PDP est envoyeacutee au PEP qui peut alors autoriser ou refuser lrsquoaccegraves au deman-
deur Le PEP et le PDP peuvent aussi bien ecirctre contenus dans une seule application ou bien ecirctre
reacutepartis (ie distribueacutes) sur plusieurs serveurs comme la plate-forme Cardea [123] La figure 310
illustre les composants ainsi que le mode de fonctionnement de XACML Il existe aussi deux modules
compleacutementaires pour lrsquoaccomplissement du processus de controcircle drsquoaccegraves agrave savoir
bull le PIP (Policy Information Point) lrsquoentiteacute ougrave les informations (attributs) relatives aux utilisa-
teurs ressources et lrsquoenvironnement sont stockeacutees
bull le PAP (Policy Administration Point) le conteneur des regravegles et politiques de controcircle drsquoaccegraves
Comme illustreacute dans la figure 310 le processus se deacuteroule ainsi
1 le PEP reccediloit une requecircte drsquoautorisation drsquoaccegraves agrave une ressource
2 le PEP reacutecupegravere aupregraves du PIP les attributs neacutecessaires pour lrsquoeacutetablissement drsquoune requecircte
conforme afin de la transmettre au PDP
3+4 le PEP transmet au PDP la requecircte bien formuleacutee lrsquoenvironnement (contexte) le sujet
(consommateur) lrsquoaction et la ressource deacutesireacutee
5 le PDP interagit avec le PAP pour reacutecupeacuterer les politiques drsquoaccegraves preacuteceacutedemment eacutetablies ou
eacutetablies par rapport aux nouvelles valeurs
6+7 le PDP prend une deacutecision (en fonction des attributs de la requecircte reccedilue) et la transmet au
PEP qui agrave son tour retransmet la reacuteponse drsquoautorisation drsquoaccegraves agrave la ressource agrave lrsquoutilisateur
principal
La reacuteponse finale du PDP peut ecirctre
une autorisation ie Permit
un refus ie Deny
aucune regravegle ne srsquoapplique agrave la requecircte ie Not applicable
ou bien Indeterminate dans le cas ougrave des problegravemes drsquoexeacutecution sont deacutetecteacutes
Politiques de controcircle drsquoaccegraves XACML
Agrave la racine de chaque document de politique XACML on trouve une Policy (figure 311) ou un
PolicySet Une Policy regroupe deux ou plusieurs regravegles (Rules) Deux ou plusieurs politiques (Po-
licy) peuvent eacutegalement ecirctre regroupeacutees au sein drsquoun ensemble appeleacute PolicySet Ainsi les processus
drsquoeacutevaluation drsquoune Policy et drsquoun PolicySet XACML neacutecessitent respectivement des meacutecanismes de
combinaison de regravegles et de politiques Comme meacutecanisme de combinaison nous pouvons appliquer
les strateacutegies suivantes
61
Chapitre 3 Eacutetat de lrsquoart
FIGURE 311 ndash Politique XACML [164]
bull Deny-Overrides si au moins une regraveglepolitique est non autoriseacutee la requecircte ne sera pas
approuveacutee
bull Permit-Overrides si au moins une regraveglepolitique est autoriseacutee la requecircte sera approuveacutee
bull All-permit pour qursquoune requecircte soit approuveacutee toutes les regraveglespolitiques doivent ecirctre
autoriseacutees
bull All-Deny pour qursquoune requecircte soit non approuveacutee toutes les regraveglespolitiques ne doivent
pas ecirctre autoriseacutees
bull All-Not-Applicable si toutes les regraveglespolitiques ne sont pas applicables faute drsquoun manque
de paramegravetre(s) ou erreur(s) interne(s)
Neacuteanmoins afin drsquoeacuteviter les problegravemes drsquoincoheacuterences toutes ces strateacutegies de combinaison ne
62
32 Controcircle drsquoaccegraves
peuvent pas ecirctre utiliseacutees ensemble dans le mecircme modegravele de politique ou de PolicySet Prenons
lrsquoexemple drsquoune politique qui contient des regravegles avec les deux effets Permit et Deny pour la mecircme
cible Ainsi si on opte pour une strateacutegie Deny-Overrides il sera incoheacuterent drsquoutiliser avec une strateacute-
gie Permit-Overrides il faudra plutocirct utiliser avec une strateacutegie All-permit et vice-versa Cependant
la strateacutegie All-Not-Applicable est utilisable avec toutes les strateacutegies 38
Regravegles de controcircle drsquoaccegraves XACML
Une regravegle est la plus petite uniteacute de deacutecision dans une politique de controcircle drsquoaccegraves XACML Une
regravegle est composeacutee drsquoune cible une ou plusieurs conditions et un effet
bull Cible Une des tacircches du PDP est de trouver une politique qui srsquoapplique agrave la requecircte reccedilue
Une cible est essentiellement un ensemble de conditions simplifieacutees concernant le sujet la
ressource et lrsquoaction qui doivent correspondre agrave ceux de la requecircte en question XACML utilise
des fonctions booleacuteennes pour comparer les valeurs trouveacutees dans une requecircte agrave celles in-
cluses dans les cibles des regravegles existantes Si toutes les conditions drsquoune cible sont remplies
alors sa regravegle ainsi que la politique et le PolicySet associeacutes peuvent ecirctre eacutevalueacutes La cible peut
eacutegalement ecirctre utiliseacutee comme index pour regrouper etou rechercher des politiques etou
PolicySet
bull Condition et effet Une fois la cible trouveacutee la regravegle correspondante peut ecirctre eacutevalueacutee pour
donner une suite (ie effet) positive ou neacutegative agrave la requecircte en question La reacuteponse est
ainsi baseacutee sur lrsquoeacutevaluation des conditions de la regravegle gracircce agrave une fonction booleacuteenne Cette
eacutevaluation peut renvoyer le rapport Indeterminate si des erreurs drsquoeacutevaluations se produisent
Si toutes les conditions de la regravegle sont satisfaites donc lrsquoeffet de la regravegle sera Permit ce
qui signifie que le sujet de la requecircte est autoriseacute agrave reacutealiser lrsquoaction deacutesireacutee sur la ressource
demandeacutee Dans le cas contraire lrsquoeffet sera Deny et la requecircte reccedilue sera ainsi refuseacutee
3242 Le point sur XACML par rapport agrave OpenPaaS RSE
XACML est sucircrement lrsquoun des langages les mieux adapteacutes pour lrsquoimplantation du modegravele ABAC
car il a montreacute son efficaciteacute dans le cadre de plusieurs projets agrave lrsquoimage de Cardea [123] epSOS [7]NHIN [8] Cepedant quand il srsquoagit drsquoenvironnement user-centric tel qursquoun RSE XACML preacutesente
quelques limites En effet bien qursquoil existe des eacutediteurs de politiques comme XACML studio [5] et
UMU-XACML-Editor [192] la conception des politiques XACML reste une tacircche non eacutevidente pour
des utilisateurs non expeacuterimenteacutes Par conseacutequent cela risque drsquoinduire le systegraveme en erreur agrave cause
drsquoeacuteventuelles incoheacuterences des regravegles deacutefinies En drsquoautres termes XACML est verbeux et manque de
capaciteacute de veacuterification automatique de la coheacuterence des politiques Crsquoest pour cela que de nombreux
travaux offrant un formalisme logique agrave XACML ont eacuteteacute proposeacutes
Dans [114] les auteurs se basent sur la logique descriptive et les ontologies (OWL) pour formali-
ser XACML dans le but de pouvoir faire des analyses de consistance des politiques XACML ie le rai-
sonnement logique Pour cela ils se basent sur un raisonneur de Logique de Description Dans [45]
38 De plus amples deacutetails sur cet aspect seront preacutesenteacutes dans le chapitre cf Controcircle drsquoaccegraves
63
Chapitre 3 Eacutetat de lrsquoart
les auteurs formalisent les politiques XACML en utilisant lrsquoalgegravebre de processus CSP (Communicating
Sequential Processes) Ils se basent sur une comparaison de politiques en utilisant du Model-Checking
pour la veacuterification de la consistance Dans [138] les auteurs proposent une meacutethode baseacutee sur la
logique du premier ordre pour lrsquoanalyse des inteacuteractions et la deacutetection et la visualisation des eacuteven-
tuels conflits dans les politiques XACML Leur meacutethode de veacuterification est fondeacutee sur le langage Alloy
Dans [160] les auteurs proposent une algegravebre pour la modeacutelisation des politiques de controcircle drsquoac-
cegraves en prenant en consideacuteration les permissions ainsi que les interdictions Les auteurs montrent
eacutegalement que cette algegravebre est facilement transformable en langage XACML Dans [152 193] X-
STROWL une extension geacuteneacuteraliseacutee de XACML est preacutesenteacutee La speacutecificiteacute de ce modegravele est qursquoil est
baseacute sur le rocircle et supporte des contraintes geacuteo-temporelles En effet agrave partir drsquoune hieacuterarchie de
rocircles (deacutefinie gracircce agrave des ontologies OWL [184]) lrsquoideacutee est de deacuteterminer les relations entre les rocircles
gracircce agrave des fonctions XACML La modeacutelisation avec les ontologies offre la capaciteacute de veacuterification
automatique au modegravele concernant la hieacuterarchie des rocircles et lrsquoheacuteritage des permissions Les auteurs
dans [139] deacutefinissent une seacutemantique formelle de XACML gracircce agrave la grammaire BNF [113] qui a
eacuteteacute implanteacutee par la suite dans un framework baseacute sur Java et de lrsquooutil ANTLR Lrsquoideacutee fondamentale
derriegravere ce travail est de clarifier toutes les ambiguiumlteacutes et les aspects complexes du standard XACML
Par ailleurs la gestion du contexte de collaboration est limiteacute dans XACML En effet bien que
les requecirctes XACML sont parfois consideacutereacutees comme des eacuteveacutenements le formalisme XACML reste
limiteacute sur ce cocircteacute En effet XACML ne considegravere pas les changements dynamiques en temps reacuteel
des attributs de lrsquoenvironnement Ce challenge a eacuteteacute releveacute dans [153] et le reacutesultat est un langage
de politique appeleacute xfACL (formaliseacute en OCaml) qui combine XACML avec RBAC La gestion des
changements dynamiques des attributs du contexte est geacutereacutee gracircce agrave des politiques auxiliaires De
plus agrave lrsquoimage des preacuteceacutedant travaux citeacutes qui offrent un formalisme logique au Standard XACML agrave
notre connaissance il nrsquoy a pas de modegravele capable de geacuterer les changements dynamiques temporels
de lrsquoenvironnement tout en eacutetant capable de faire un raisonnement efficace sur la coheacuterence des
regravegles deacutefinies par des utilisateurs non expeacuterimenteacutes tel que crsquoest le cas dans les RSEs En outre la
gestion du temps dans ces travaux reste limiteacutee et statique
Pour reacutesumer la prise en compte du contexte dans les diffeacuterents modegraveles de controcircle drsquoaccegraves
est limiteacutee agrave des situations preacutedeacutefinies Cependant dans un environnement collaboratif riche en
changements tel qursquoun RSE il est important drsquoaller au delagrave de ces situations preacutedeacutefinies et drsquoinclure
de maniegravere plus dynamique les proprieacuteteacutes lieacutees au changements contextuels dans le processus du
controcircle drsquoaccegraves En effet lrsquoeacutetude de la consideacuteration du contexte a eacuteteacute davantage approfondie dans
le cadre drsquoautres travaux qui ont traiteacute un autre type de politiques de controcircle drsquoaccegraves agrave savoir les
politiques de controcircle drsquoaccegraves ldquodynamiquesrdquo La principale ideacutee derriegravere le controcircle drsquoaccegraves dynamique
est que les politiques ainsi que les deacutecisions du controcircle drsquoaccegraves soient variables dans le temps et
ce en fonction drsquoun certain nombre de paramegravetres relatifs au contexte
64
32 Controcircle drsquoaccegraves
325 Controcircle drsquoaccegraves dynamique
Contrairement aux modegraveles classiques de controcircle drsquoaccegraves le controcircle drsquoaccegraves dynamique va au
delagrave de politiques preacutedeacutefinies Il a eacuteteacute deacuteveloppeacute [178 123 187] dans la perspective de rendre les
deacutecisions de controcircle drsquoaccegraves (requecirctesreacuteponses) plus dynamiques et reacuteactives vis-agrave-vis drsquoinforma-
tions capteacutees en temps reacuteel Ces informations peuvent ecirctre lieacutees agrave diffeacuterents concepts comme le
contexte la confiance (la reacuteputation) et le risque [194 44]
3251 Contexte et controcircle drsquoaccegraves
Dans un environnement collaboratif heacuteteacuterogegravene la mobiliteacute dans lrsquoutilisation des terminaux in-
formatiques est un avantage preacutecieux Par exemple le fait qursquoun acteur puisse rejoindre son reacuteseau
collaboratif (eacutequipe entreprise etc) depuis diffeacuterents types de terminaux (ordinateur smartphone
etc) et depuis nrsquoimporte quel endroit geacuteographique (une autre villes un autre pays etc) Cependant
cette flexibiliteacute preacutesente certaines vulneacuterabiliteacutes en matiegravere de seacutecuriteacute Cela peut ecirctre ducirc au manque
de fiabiliteacute des proceacutedures drsquoauthentification qui va lier une identiteacute (authentifieacutee) agrave des permissions
drsquoaccegraves Plus preacuteciseacutement on ne peut pas ecirctre totalement sucircr qursquoun acteur ne se fait pas passer pour
un autre (ie usurpation drsquoidentiteacute) En revanche cette vulneacuterabiliteacute peut ecirctre atteacutenueacutee au moyen de
la veacuterification de certaines contraintes lieacutees au contexte Par exemple si on deacutetecte une connexion
depuis une adresse IP drsquoun pays geacuteographiquement tregraves eacuteloigneacute de celui ougrave se trouve lrsquoacteur en
question lrsquoaccegraves peut ecirctre alors refuseacute
Le contexte repreacutesente lrsquoaspect dynamique drsquoune situation [182] Une situation dynamique change
agrave travers le temps Ainsi le temps est lrsquoune des proprieacuteteacutes les plus importantes du contexte ce qui a
susciteacute lrsquointeacuterecirct des chercheurs degraves lrsquoeacutemergence des plate-formes collaboratives En effet la notion du
temps dans RBAC a eacuteteacute initialement introduite par Bertino et al dans Temporal-RBAC (TRBAC) [27]et ce dans le but de geacuterer les contraintes temporelles drsquoactivation (ou deacutesactivation) peacuteriodique des
rocircles et les deacutependances temporelles entre les actions autoriseacutees Par exemple lrsquoutilisateur Bob ne
peut exeacutecuter lrsquoactionB qursquoune fois lrsquoactionA est reacutealiseacutee par Alice Generalized Temporal Role based
Access Control (GTRBAC) [106] est une version plus geacuteneacuterique du modegravele TRBAC Dans GTRBAC les
hieacuterarchies de rocircle ainsi que leurs deacutependances ont eacuteteacute traiteacutees sur les plans temporels et seacuteman-
tiques
Par ailleurs de nombreux travaux se sont focaliseacutes sur lrsquoeacutevolution des privilegraveges dans le temps
Par exemple dans CCRR Collaborative Concur Task Trees [144] lrsquoactivation des rocircles est relieacutee agrave lrsquoeacutetat
drsquoavancement des tacircches dans le cadre drsquoun objectif commun Lrsquoideacutee est de deacutecomposer les tacircches
complexes en plusieurs sous-tacircches simples et atomiques et de geacuterer les concurrences entre elles
Un autre exemple drsquoun meacutecanisme de controcircle drsquoaccegraves orienteacute workflow est preacutesenteacute dans [96] sous
le nom de SecureFlow Il srsquoagit drsquoun systegraveme 39 de gestion de flux opeacuterationnels qui se base sur une
hieacuterarchie de rocircle un regroupement des objets (sous forme drsquoensemble et sous ensembles) et un
intervalle de temps et pendant lequel la tacircche doit ecirctre exeacutecuteacutee
39 Sous forme drsquoun site web
65
Chapitre 3 Eacutetat de lrsquoart
Un environnement collaboratif tel qursquoun RSE a besoin drsquoune vue dynamique sur le contexte dans
le sens ougrave la modeacutelisation du contexte ne doit pas se limiter agrave des situations preacutedeacutefinies En effet
agrave lrsquoimage de la grande freacutequence drsquointeractions au sein drsquoun environnement RSE on peut consideacute-
rer ce dernier comme eacutetant un environnement riche en eacuteveacutenements Un eacuteveacutenement est une action
reacutealiseacutee par un acteur agrave un instant donneacute et capteacutee par un systegraveme de supervision Ainsi dans un
environnement RSE tous les eacuteveacutenements ne doivent pas ecirctre totalement ignoreacutes Crsquoest pour cela que
la plupart des approches proposeacutees de modeacutelisation du contexte ne srsquoaccordent pas vraiment avec la
nature dynamique du RSE
Encore plus loin dans la modeacutelisation du contexte
Lrsquoaspect eacuteveacutenementiel (introduit briegravevement dans la section cf 321) a eacuteteacute exploiteacute et inteacutegreacute
dans de nombreux travaux qui font partie de la famille des modegraveles de politiques ECA Parmi ces
derniers on distingue The Policy Description Language [131 29] Law-Governed Interaction [142] et
Ponder [63] Lrsquoun des premiers langages speacutecialiseacute dans lrsquoadministration des reacuteseaux PDL [131 29]est un langage de politiques dans lequel les eacuteveacutenements peuvent ecirctre simples ou composeacutes agrave base
de connecteurs logiques (etou) ou temporels Dans LGI [142] les politiques drsquoautorisation se foca-
lisent sur le controcircle drsquoaccegraves dans les environnements collaboratifs en controcirclant le flux drsquoeacutechange
de messages entre des agents distribueacutes Dans [63] les auteurs preacutesentent Ponder un langage de
politiques baseacutees sur le rocircle pour la gestion de seacutecuriteacute dans les systegravemes distribueacutes Implanteacute en
Java Ponder se preacutesente comme eacutetant un langage deacuteclaratif et orienteacute-objet Par ailleurs dans [115]les auteurs preacutesentent un modegravele de politiques drsquoautorisation et drsquoobligation appeleacute EB3 SEC baseacute
sur les eacuteveacutenements dans les systegravemes dynamiques Ce modegravele est fondeacute sur une meacutethode formelle
baseacutee sur une algegravebre de processus permettant de speacutecifier des politiques de seacutecuriteacute fonctionnelles
dans des systegravemes drsquoinformation
Dans un langage de politiques de controcircle drsquoaccegraves dynamique lrsquoaspect eacuteveacutenementiel est tregraves
avantageux car il donne la possibiliteacute de prendre en consideacuteration les eacuteveacutenements qui se produisent
dans lrsquoenvironnement collaboratif (ie contexte) et ce en temps reacuteel Les langages de politiques
baseacutes sur le paradigme ECA preacuteceacutedemment citeacutes ont eacuteteacute deacuteveloppeacutes dans des contextes particuliers
afin de reacutepondre agrave des objectifs de seacutecuriteacutes speacutecifiques En effet ces langages ne permettent pas
de couvrir tous les besoins que nous avons releveacutes (cf chapitre Probleacutematique et motivations)
notamment en matiegravere de flexibiliteacute des politiques et la gestion des permissions temporaires ie
deacuteleacutegations Cela signifie qursquoils ne sont pas tregraves bien adapteacutes agrave la nature dynamique de notre contexte
de probleacutematique agrave savoir les communauteacutes RSE Par conseacutequent nous nous sommes focaliseacutes sur
la conception drsquoun langage de politiques de controcircle drsquoaccegraves dynamique suivant le paradigme ECA
sur la base du formalisme Event-Calculus (cf Section 327)
Le contexte est un cadre geacuteneacuteral qui inclut plusieurs variables relatives aux entiteacutes collaboratives
Dans une vision dynamique du controcircle drsquoaccegraves dans un environnement collaboratif certaines va-
riables sont plus importantes que drsquoautres comme la confiance numeacuterique que le systegraveme de seacutecuriteacute
ainsi que lrsquoensemble des entiteacutes de collaborations accordent agrave un sujet donneacute
66
32 Controcircle drsquoaccegraves
3252 Confiance numeacuterique
Dans un processus de controcircle drsquoaccegraves lrsquoidentiteacute drsquoun utilisateur est geacuteneacuteralement soumise en
premier lieu agrave une phase drsquoauthentification Neacuteanmoins drsquoun cocircteacute lrsquoauthentification ne peut pas as-
surer le bon usage des permissions lieacutees agrave lrsquoidentiteacute du sujet en question et drsquoun autre cocircteacute elle ne
peut pas garantir que le sujet authentifieacute aura un comportement qui ne reflegravete aucune menace de
seacutecuriteacute pour le systegraveme Cela constitue un seacuterieux souci qui srsquoaccentue lorsqursquoil srsquoagit drsquoenviron-
nement RSE ougrave lrsquoenjeu de perte drsquoinformation est de taille En effet outre lrsquoouverture des cercles
collaboratifs agrave de nouveaux acteurs (inconnus) mecircme le comportement drsquoun acteur interne est im-
preacutevisible dans le sens ougrave il ne peut ecirctre garanti et est susceptible de changer au cours du temps Par
conseacutequent il est important de consideacuterer cela dans le processus drsquoautorisation Ce challenge peut
ecirctre reacutesumeacute par la prise en compte de la confiance (trust) La confiance peut ecirctre consideacutereacutee sur la
base du comportement individuel drsquoun acteur dans le temps ou simplement drsquoune image refleacuteteacutee
par la communauteacute de laquelle est issu le sujet en question eg entreprise groupe De nombreux
travaux ont mixeacute la notion de confiance avec le controcircle drsquoaccegraves ce qui a deacuteboucheacute sur plusieurs
modegraveles de controcircle drsquoaccegraves [127 14 182 85 196 68]
Les approches existantes sous le volet de la confiance numeacuterique peuvent ecirctre consideacutereacutes sous
deux grandes cateacutegories [197] agrave savoir les politiques baseacutees sur la gestion de confiance et les sys-
tegravemes drsquoeacutevaluation de reacuteputation Dans la premiegravere cateacutegorie la confiance est statique et binaire car
elle est baseacutee uniquement sur lrsquoauthenticiteacute de lrsquoidentiteacute de lrsquoacteur et ce agrave travers un jeton drsquoauthen-
tification 40 comme crsquoest le cas dans RT [126] PolicyMaker [36] KeyNote [34] [35] [125] Quant agrave
la cateacutegorie baseacutee sur la reacuteputation elle est davantage dynamique car lrsquoeacutevaluation de la confiance est
baseacutee sur lrsquohistorique des interactions des utilisateurs En drsquoautres termes lrsquoeacutevolution de la confiance
est mesureacutee gracircce agrave une eacutevaluation du comportement de lrsquoacteur sur la base de son historique de
collaboration [51 189 168 56] Nous consideacuterons que la deuxiegraveme cateacutegorie (ie la reacuteputation) est
plus adeacutequate pour notre contexte RSE car la reacuteputation va donner un aspect dynamique agrave notre
meacutecanisme de controcircle drsquoaccegraves
Geacuteneacuteralement la reacuteputation est un jugement porteacute par autrui sur la qualiteacute drsquoune personne [103]De nombreux travaux qui rentrent dans le cadre de la cateacutegorie de la reacuteputation sont baseacutes sur des
approches probabilistes En effet ces travaux se basent sur le Beta model [107 149 46 183 47] Le
modegravele Beta utilise un paramegravetre (Θ) pour preacutedire le comportement bon ou mauvais (1minusΘ) drsquoun
acteur dans le futur et ce par rapport agrave un comportement attendu Dans [174] les auteurs essayent
drsquoapprocher la valeur du paramegravetre inconnu (Θ) en se basant sur lrsquohistorique des interactions de
lrsquoacteur Les auteurs dans [165] proposent un modegravele de controcircle drsquoaccegraves sous forme drsquoextension du
modegravele ABAC Ce modegravele met lrsquoaccent sur lrsquoaspect de confiance et de confidentialiteacute pour lrsquoadminis-
tration des autorisations dans les systegravemes collaboratifs de gestion de crise En effet la confiance
est mesureacutee sur la base de trois dimensions agrave savoir le degreacute de collaboration entre lrsquoorganisation
et le demandeur drsquoaccegraves les recommandations et la reacuteputation Cette derniegravere repose sur lrsquoanalyse
40 Par exemple numeacutero de carte bancaire certification de compeacutetence une preuve drsquoappartenance agrave une organisationdonneacutee etc
67
Chapitre 3 Eacutetat de lrsquoart
de lrsquohistorique drsquoaccegraves de lrsquoacteur pour augmenter ou diminuer sa reacuteputation agrave travers le temps en
fonction de paramegravetres subjectifs deacutefinis par lrsquoentreprise Cela signifie que la reacuteputation drsquoun mecircme
acteur nrsquoeacutevolue pas de la mecircme maniegravere drsquoune entreprise agrave une autre
Selon notre point de vue il est plus inteacuteressant drsquoexploiter lrsquoeacutevaluation de la confiance numeacuterique
refleacuteteacutee par la reacuteputation baseacutee sur lrsquohistorique comportemental drsquoune maniegravere plus ferme dans le
controcircle drsquoaccegraves Plus preacuteciseacutement la confiance doit ecirctre une contrainte essentielle dans les politiques
de controcircle drsquoaccegraves Cependant la confiance ne doit pas ecirctre statique et doit pouvoir eacutevoluer drsquoune
maniegravere dynamique agrave travers le temps et ce sur la base de lrsquoensemble des actions passeacutees (ie lrsquohis-
torique) reacutealiseacutees par le sujet en question Dans cette optique il est possible que drsquoautres paramegravetres
entrent en consideacuteration pour la construction de politiques baseacutees sur la confiance numeacuterique Par
conseacutequent nous nous sommes tourneacutes vers lrsquoeacutetude drsquoune gestion plus geacuteneacuteraliseacutee de la confiance
avec drsquoautres contraintes contextuelles Notre eacutetude srsquoest ainsi focaliseacutee sur les meacutecanismes de gestion
du risque car ces derniers repreacutesentent (par deacutefinition) les menaces de requecirctes de demande drsquoaccegraves
et leurs impacts sur les enjeux preacutesents dans le contexte collaboratif
3253 Gestion du risque
Aujourdrsquohui la deacutependance des entreprises aux technologies IT est devenue tregraves importante [159]Cette deacutependance signifie que les entreprises doivent ecirctre en mesure drsquoidentifier et de faire face
aux nouvelles vulneacuterabiliteacutes et menaces auxquelles leurs systegravemes sont exposeacutes et ce dans le but
drsquoadapter leurs systegravemes aux eacutevolutions des environnements et des besoins organisationnels qui srsquoen
suivent
La gestion du risque pour une organisation est un processus complet composeacute de quatre facettes
bull frame risk deacutefinir le contexte (ie environnement) du risque afin drsquoadopter une strateacutegie
drsquoeacutevaluation de reacuteponse et de supervision du risque
bull assess risk lrsquoeacutevaluation du risque agrave travers lrsquoidentification des menaces vis-agrave-vis des en-
treprises les vulneacuterabiliteacutes du contexte deacutefini et les eacuteventuels susceptibles dommages ie
impact sur la confidentialiteacute des ressource ducirc aux menaces et aux vulneacuterabiliteacutes
bull respond to risk reacuteaction de lrsquoentreprise baseacutee sur les reacutesultats de lrsquoeacutevaluation du risque
bull monitor risk supervision fondeacutee sur le maintien de connaissances sur les informations de
seacutecuriteacute les vulneacuterabiliteacutes et les menaces afin drsquoappuyer les deacutecisions baseacutees sur le risque
Dans le cadre de cette thegravese le contexte dans lequel nous eacutevaluons le risque (ie frame risk) est
le reacuteseau social drsquoentreprise Par ailleurs les reacuteactions des entreprises (ie respond to risk) vis-agrave-vis
des reacutesultats de lrsquoeacutevaluation du risque vont porter sur les deacutecisions du controcircle drsquoaccegraves en suspendant
lrsquoaccegraves aux acteurs concerneacutes Quant au monitoring du risque nous omettons cette tacircche car elle se
base en geacuteneacuteral sur les reacutesultats drsquoexpeacuterimentations reacuteelles dont nous disposons pas agrave ce stade Enfin
nous nous focalisons dans nos travaux sur le risque sur lrsquoeacutevaluation du risque (ie risk assessement)
en identifiant les paramegravetres pertinents relatifs agrave notre contexte RSE pour lrsquoeacutevaluation du risque
Le processus drsquoeacutevaluation du risque requiert lrsquoeacutetude des aspects suivants
bull outils techniques et meacutethodes drsquoeacutevaluation
68
32 Controcircle drsquoaccegraves
bull les hypothegraveses relatives agrave lrsquoeacutevaluation du risque
bull les contraintes susceptibles drsquoinfluencer lrsquoeacutevaluation du risque
bull la maniegravere dont les informations sur le risque sont collecteacutees traiteacutees et communiqueacutees agrave
travers les entreprises
bull la maniegravere dont sont mesureacutees les menaces (sources et meacutethodes)
En geacuteneacuteral le risque est deacutefini par la probabiliteacute qursquoun eacuteveacutenement se produise avec ses conseacute-
quences sur le systegraveme [151] Dans le contexte de la seacutecuriteacute informatique dans les entreprises un
eacuteveacutenement est communeacutement consideacutereacute comme une menace qui se base sur une ou plusieurs vulneacute-
rabiliteacutes de lrsquoenvironnement informatique afin drsquooccasionner un impact neacutegatif eg la destruction
lrsquoalteacuteration et le vol des informations de lrsquoentreprise [140] Par exemple un attaquant vole des infor-
mations sensibles (menace) agrave travers une interface compromise (vulneacuterabiliteacute) ce qui peut infliger
des pertes agrave lrsquoentreprise (impact) [87] Dans ce sens lrsquoeacutevaluation du risque se reacutesume a la formule
suivante ([6] [151]) risque = vulneacuterabiliteacute times menace times impactlArrrArr f (V M I)
Le risque et la confiance sont les deux aspects sur lesquels nous nous sommes baseacutes dans notre
eacutetude qui vise agrave donner un aspect dynamique au meacutecanisme de controcircle drsquoaccegraves destineacute au RSE
Dans ce qui suit nous faisons le point sur les travaux de recherche eacutetablis dans cadre du risque et de
la confiance numeacuterique
Revue de la litteacuterature sur le risque et le controcircle drsquoaccegraves
Le travail reacutealiseacute dans [112] propose un framework de controcircle drsquoaccegraves baseacute sur le modegravele ABAC
et lrsquoeacutevaluation du risque Le modegravele est principalement fondeacute sur des besoins opeacuterationnels des
facteurs de situations 41 des politiques adaptables de controcircle drsquoaccegraves ainsi que des heuristiques
baseacutees sur les vulneacuterabiliteacutes identifieacutees dans les cas pratiques anteacuterieurs Ces aspects sont formaliseacutes
sur la base drsquoextensions UCON (usage control) [121 156] Cependant cette proposition ne fournit
pas des deacutetails sur les meacutethodes drsquoeacutevaluation ni drsquoimplantation de chacun de ces paramegravetres Par
ailleurs la deacutefinition du risque nrsquoest baseacutee sur aucun standard
Dans [154] les auteurs proposent un systegraveme de controcircle drsquoaccegraves qui repose sur une approche
drsquoeacutevaluation de risque Le systegraveme calcule la valeur du risque (entre 0 et 1) pour chaque requecircte
entrante drsquoun sujet sur un objet Ce systegraveme ne permet pas drsquoempecirccher une tentative drsquoaccegraves qui
reflegravete une valeur eacuteleveacutee de risque il permet plutocirct drsquoattribuer un accegraves temporaire avec des post-
obligations que le sujet doit accomplir apregraves lrsquoautorisation accegraves En effet lrsquoestimation du risque est
baseacutee sur un systegraveme agrave infeacuterence floue avec le niveau drsquointeacutegriteacute du sujet et de sensitiviteacute drsquoobjet
Cela signifie que la vulneacuterabiliteacute du contexte nrsquoest pas prise en consideacuteration
Dans Dimmock [47] on considegravere que la confiance est eacutetroitement lieacutee au risque Les auteurs
soulignent lrsquoimportance de la consideacuteration de ces deux aspects dans les prises de deacutecisions drsquoauto-
risation Ils proposent une solution baseacutee sur une fonction de densiteacute de probabiliteacute et la confiance
pour estimer le niveau du risque de chaque interaction Ainsi lrsquoaccegraves est autoriseacute lorsque le niveau
du risque est assez bas ou la confiance est assez eacuteleveacutee La confiance peut dans ce cas ecirctre consi-
41 ie conditions environnementales externes sous lesquelles sont baseacutees les deacutecisions de controcircle drsquoaccegraves
69
Chapitre 3 Eacutetat de lrsquoart
deacutereacutee comme la menace Cependant pour srsquoadapter aux proprieacuteteacutes du RSE tout en respectant le
standard de deacutefinition du risque il est eacutegalement important de consideacuterer la vulneacuterabiliteacute et lrsquoimpact
Par ailleurs dans [67] est proposeacutee une approche drsquoeacutevaluation du risque baseacutee sur la theacuteorie de la
deacutecision dans lrsquoincertain Les auteurs combinent les probabiliteacutes de confiance avec les reacutesultats pour
mettre en place un systegraveme de deacutetection de Spam
Dans cette mecircme optique qui lie la confiance au risque les auteurs dans [178] proposent un
systegraveme de controcircle drsquoaccegraves baseacute sur une eacutevaluation dynamique du risque Le systegraveme proposeacute est une
ameacutelioration (extention) du modegravele de controcircle drsquoaccegraves multi-niveaux (MAC Bell-LaPadula [25])ougrave le niveau drsquointeacutegriteacute (confiance) de lrsquoacteur et la sensibiliteacute (impact) de la ressource jouent un
rocircle central Ainsi les auteurs proposent une meacutethode drsquoeacutevaluation de la confiance et du risque en
consideacuterant que la confiance est lrsquoeffet opposeacute du risque En effet baseacutees sur lrsquohistorique drsquointeraction
local du sujet et des recommandations externes les meacutethodes drsquoeacutevaluation de la confiance et du
risque eacutevaluent respectivement le pourcentage des bonnes et mauvaises interactions par rapport au
reste en les pondeacuterant avec lrsquoeacutevolution de la confiance du sujet agrave travers le temps Les deacutecisions sont
par la suite prises sur la base de la comparaison directe de la confiance et du risque si la confiance est
supeacuterieure au risque le sujet sera autoriseacute sinon sa requecircte sera rejeteacutee Les auteurs proposent dans
le mecircme travail une deuxiegraveme meacutethode qui se focalise plus lrsquohistorique drsquointeractions du sujet en
donnant plus drsquoimportance aux interactions les plus reacutecentes par rapport aux anciennes et ce gracircce
agrave la meacutethode Exponentially Weighted Moving Average (EWMA) [59] Le principal souci avec ce travail
dans le cadre drsquoun RSE reacuteside dans la formule drsquoeacutevaluation de la confiance et du risque Cela est ducirc agrave
la nature sensible des ressources et lrsquoouverture laxiste de lrsquoenvironnement social En effet pour une
telle configuration drsquoenvironnement collaboratif nous avons besoin drsquointercepter rapidement tout
changement brusque et suspicieux de comportement et de reacuteagir tregraves rapidement pour reacuteduire la
menace Ces objectifs ne sont pas couverts par la formule proposeacutee dans [178]
Lrsquoarticle [70] traite le controcircle drsquoaccegraves pour le partage de ressources dans les feacutedeacuterations de
Clouds [118] en essayant de compenser les cas drsquoabsence de feacutedeacuteration drsquoidentiteacute [122] et ce au
moyen de lrsquoeacutevaluation du risque En effet le meacutecanisme preacutesenteacute se base sur le modegravele ABAC et une
architecture XACML Le meacutecanisme drsquoeacutevaluation du risque (inteacutegreacute au niveau PDP) srsquoactive dans le
cas ougrave le systegraveme ne trouve pas de feacutedeacuteration drsquoidentiteacute entre le domaine (cloud) du sujet demandeur
drsquoaccegraves le domaine eacutetranger ougrave est heacutebergeacutee la ressource demandeacutee Ce systegraveme vise agrave promouvoir
le passage agrave lrsquoeacutechelle et traiter des requecirctes particuliegraveres deacutependant fortement du contexte
Cependant lrsquoeacutevaluation du risque se fait au niveau de chaque domaine drsquoune maniegravere indeacutepen-
dante et eacuteventuellement diffeacuterente des autres domaines Cela ne srsquoadapte pas vraiment au contexte
du RSE car afin de ne pas brider la collaboration nous avons besoin drsquoun meacutecanisme geacuteneacuteraliseacute
drsquoeacutevaluation du risque qui respecte lrsquoautonomie de chaque domaine (entreprise) en matiegravere drsquoadmi-
nistration (ie le parameacutetrage) du risque
Lrsquoefficaciteacute drsquoun meacutecanisme de controcircle drsquoaccegraves est relative au contexte de son application Ainsi
bien que nous soutenons lrsquoimportance du controcircle drsquoaccegraves dynamique nous nrsquoadheacuterons pas agrave lrsquoideacutee de
remplacer un meacutecanisme de controcircle drsquoaccegraves ferme et compact par un meacutecanisme de risque baseacute sur
des meacutetriques de probabiliteacute ie estimation approximative de la menace et son impact sur le systegraveme
70
32 Controcircle drsquoaccegraves
De plus les deacutecisions du risque et de confiance sont censeacutees ameacuteliorer et soutenir les deacutecisions
drsquoautorisation mais elles ne doivent en aucun cas atteacutenuer lrsquoeffet des politiques de controcircle drsquoaccegraves
Par conseacutequent le meacutecanisme drsquoeacutevaluation du risque et de confiance doit ecirctre leacuteger dans le sens ougrave
son inteacutegration agrave un meacutecanisme de controcircle drsquoaccegraves doit ecirctre facilement parameacutetrable voire mecircme
deacutesactivable Par conseacutequent il doit se situer agrave un niveau parallegravele et indeacutependant de celui des
politiques initiales de controcircle drsquoaccegraves et comme un meacutecanisme compleacutementaire de deacutecision
Nous avons eacutetudieacute jusqursquoagrave preacutesent les principaux travaux concernant les modegraveles classiques (ie
MAC DAC et X-RBAC) le modegravele ABAC ainsi que le controcircle drsquoaccegraves dynamique qui se base sur le
contexte en incluant la confiance numeacuterique et la gestion du risque Dans ce qui suit nous allons
eacutetudier un aspect particulier du controcircle drsquoaccegraves lieacute aux environnements collaboratifs en geacuteneacuteral et
aux RSEs en particulier agrave savoir la deacuteleacutegation La deacuteleacutegation consiste principalement en un transfert
temporaire de droits drsquoaccegraves agrave des ressources
326 Deacuteleacutegation
La deacuteleacutegation est un meacutecanisme de transfert de droits connexe au controcircle drsquoaccegraves Geacuteneacuterale-
ment une deacuteleacutegation peut se produire selon deux formes [58] une deacuteleacutegation via un administrateur
et une deacuteleacutegation via un utilisateur La diffeacuterence est relative aux droits posseacutedeacutes vis-agrave-vis des droits
deacuteleacutegueacutes Un utilisateur est obligeacute drsquoavoir le privilegravege pour pouvoir le deacuteleacuteguer contrainte qui ne
concerne pas lrsquoadministrateur Nous nous focalisons dans cette thegravese sur la deacuteleacutegation via lrsquoutilisa-
teur Par ailleurs une deacuteleacutegation peut ecirctre entre humains ou entre machines (eg agent logiciel
service web etc) ou les deux [24]
Il existe plusieurs deacutefinitions dans la litteacuterature du concept de deacuteleacutegation Zhang et al [205]voient la deacuteleacutegation comme suit ldquolrsquoobjectif de la deacuteleacutegation est drsquoavoir le travail fait en lrsquoenvoyant
agrave quelqursquoun drsquoautre par exemple un subordonneacuterdquo McNamara et al[141] considegraverent la deacuteleacutegation
comme ldquola marque drsquoune bonne supervisionrdquo Dans le cadre du controcircle drsquoaccegraves le besoin de deacuteleacutega-
tion se pose quand un utilisateur a besoin drsquoagir pour le compte drsquoun autre utilisateur pour acceacuteder
agrave ses ressources autoriseacutees Cela pourrait ecirctre pour un temps limiteacute par exemple des vacances ou
bien pour un remplacement ie toujours agir en cas drsquoabsence de lrsquoacteur principal Ainsi une deacuteleacute-
gation permet agrave un deacuteleacutegataire drsquoacqueacuterir des privilegraveges lui permettant de reacuteagir dans des situations
ou drsquoacceacuteder agrave des informations sans besoin de se reacutefeacuterer agrave son deacuteleacutegant [205] Cependant dans
une deacuteleacutegation il existe quelques speacutecificiteacutes notamment dans les meacutecanismes agrave base de rocircles agrave
savoir [75]
bull une deacuteleacutegation peut ecirctre totale ou partielle Dans une deacuteleacutegation totale un utilisateur deacute-
legravegue toutes ses permissions relatives agrave son rocircle par exemple Tandis qursquoavec une deacuteleacutegation
partielle lrsquoutilisateur peut deacuteleacuteguer une partie de ses privilegraveges
bull deacuteleacutegation transitive multi-niveaux Cette proprieacuteteacute permet un utilisateur de redeacuteleacuteguer les
droits qui lui sont deacuteleacutegueacutes tout en respectant une certaine profondeur (preacutedeacutefinie) de redeacute-
leacutegation
bull une deacuteleacutegation peut ecirctre du type ldquograntrdquo ou ldquotransfertrdquo La diffeacuterence est que dans une deacute-
71
Chapitre 3 Eacutetat de lrsquoart
leacutegation grant les droits drsquoaccegraves seront partageacutes entre les deux parties de deacuteleacutegation (ie
deacuteleacutegataire deacuteleacutegant) dans le sens ougrave le deacuteleacutegant continue de pouvoir exploiter ses droits
drsquoaccegraves deacuteleacutegueacutes En revanche dans le cas drsquoune deacuteleacutegation transfert le deacuteleacutegant nrsquoa plus le
droit drsquoaccomplir les tacircches relatives aux droits deacuteleacutegueacutes
bull dans le cas drsquoune deacuteleacutegation de droits relieacutes agrave un rocircle faisant partie drsquoune hieacuterarchie le deacuteleacute-
gataire se voit procurer tous les privilegraveges des rocircles subordonneacutes du rocircle deacuteleacutegueacute
Par ailleurs une deacuteleacutegation efficace requiert certaines exigences agrave savoir la reacutevocation et les
conditions La reacutevocation est un aspect tregraves important qui doit accompagner toute deacuteleacutegation En
effet une deacuteleacutegation agrave un moment donneacute doit pouvoir ecirctre suspendue ie validiteacute temporaire des
droits Une proceacutedure de reacutevocation consiste agrave enlever les privilegraveges deacuteleacutegueacutes ou de revenir agrave lrsquoeacutetat
drsquoavant la deacuteleacutegation Quant aux conditions elles concernent les deacuteleacutegations et les reacutevocations Une
condition speacutecifie des restrictions sous forme de contraintes Ces contraintes doivent ecirctre satisfaites
au moment de la validation de la deacuteleacutegation respectivement la reacutevocation Dans ce qui suit nous
allons preacutesenter quelques travaux portant sur la deacuteleacutegation dans les environnements collaboratifs
Deacuteleacutegation et travaux connexes
Beaucoup de travaux se sont inteacuteresseacutes au concept de la deacuteleacutegation La plupart des travaux qui
ont contribueacute agrave lrsquoeacutemergence du concept tels que [86 11 82] se sont plus au moins focaliseacutes sur la
deacuteleacutegation homme-machine et machine-machine [24] Vu que dans la pratique RBAC a eacuteteacute le for-
malisme dominant dans le domaine du controcircle drsquoaccegraves pendant une bonne eacutepoque [101] beaucoup
de travaux concernant la deacuteleacutegation se sont tourneacutes vers le formalisme agrave base de rocircle
Les modegraveles agrave base de rocircles les plus populaires dans le domaine de deacuteleacutegation sont RBDM0 (Role-
Based Delegation Model 0) et ses variantes RBDM1 et RDM2000 [24 23 22 205] Ces modegraveles
couvrent plusieurs aspects relatifs agrave la deacuteleacutegation speacutecialement les hieacuterarchies de rocircles ainsi que les
deacuteleacutegations multi-niveaux Cependant la deacuteleacutegation partielle nrsquoest pas supporteacutee dans ces modegraveles
dans le sens ougrave le rocircle (et les permissions qui en deacutecoulent) est la plus petite uniteacute dans une deacute-
leacutegation Dans notre contexte social et heacuteteacuterogegravene les deacuteleacutegations partielles sont tregraves importantes
car le mecircme rocircle dans deux domaines (entreprises) diffeacuterents peut ne pas donner droits aux mecircmes
privilegraveges
Par ailleurs de nombreuses extensions RBAC orienteacutees vers la gestion du contexte traitent lrsquoas-
pect de deacuteleacutegation [105] est une extension du modegravele GTRBAC qui supporte les deacuteleacutegations dans
des hieacuterarchies hybrides de rocircles ainsi que diffeacuterents types de deacuteleacutegation comme les deacuteleacutegations par-
tielles Une hieacuterarchie hybride permet de combiner lrsquoaspect heacuteritage et activation de rocircle dans une
hieacuterarchie de rocircles [161] permet de prendre en consideacuteration plus de types de deacuteleacutegation et ce au-
tour des rocircles et des permissions avec des contraintes temporelles etou geacuteographique [128] traite
eacutegalement la deacuteleacutegation agrave lrsquoeacutegard des hieacuterarchies de rocircle
Un des modegraveles de deacuteleacutegation agrave base de rocircles les plus reacutecents est connu sous le nom GemR-
BAC [75] GemRBAC se preacutesente comme le framework qui englobe les extensions les plus importantes
du modegravele RBAC Fondeacute sur une repreacutesentation UML GemRBAC est implanteacute en Object Constraint
72
32 Controcircle drsquoaccegraves
Language (OCL) Plus preacuteciseacutement les composants des politiques RBAC comme le rocircle la deacuteleacutega-
tion les permissions les sessions sont repreacutesenteacutes par des classes constitueacutees drsquoattributs neacutecessaires
permettant de couvrir tous les aspects de controcircle drsquoaccegraves agrave base de rocircle comme la seacuteparation des
devoirs les hieacuterarchies des rocircles les preacutepost conditions En fait gracircce aux attributs constituant les
classes du modegravele ce modegravele peut ecirctre vu comme une version ABAC de RBAC avec une implantation
qui tire profit des avantages drsquoexpressiviteacute du standard OCL Sur le plan technique les auteurs de
GemRBAC le preacutesentent comme eacutetant un modegravele geacuteneacuterique capable de srsquoadapter agrave nrsquoimporte quelle
entreprise et facilement configurable par les administrateurs en se basant sur les Checkers OCL dis-
ponibles Cela signifie que le langage neacutecessite une certaine expeacuterience dans le domaine du controcircle
drsquoaccegraves pour lrsquoadministration des politiques drsquoaccegraves aux ressources partageacutees contrainte assez dif-
ficile agrave satisfaire dans le cadre des reacuteseaux sociaux et des approches user-centric de deacutefinition de
regravegles
XACML permet eacutegalement de modeacuteliser des regravegles de deacuteleacutegation gracircce agrave la flexibiliteacute et la richesse
des attributs Dans [191] les auteurs ont deacuteveloppeacute la langage de politique BelLog pour exprimer
les deacuteleacutegations ainsi que la composition de politiques avec la capaciteacute de raisonnement Dans [176]est proposeacute un modegravele de politique drsquoadministration et de deacuteleacutegation fondeacute sur XACML et le ser-
veur Delegent [78] Ce modegravele est capable drsquoexprimer les chaicircnes de deacuteleacutegation avec eacutegalement des
contraintes sur les deacuteleacutegations en utilisant le langage XACML
XACML 30 introduit le concept de deacuteleacutegation dynamique En effet une deacuteleacutegation dynamique
permet agrave certains utilisateurs de creacuteer des politiques de dureacutee limiteacutee afin de deacuteleacuteguer certaines
capaciteacutes agrave drsquoautres utilisateurs [155 73] Contrairement agrave XACML 20 la notion de circonstance dans
lrsquoadministration des politiques (ie le controcircle de la creacuteation et la modification des politiques) nrsquoeacutetait
pas abordeacutee Par exemple dans XACML 30 un utilisateur peut creacuteer une regravegle permettant agrave un autre
utilisateur de faire des tacircches pour son compte tant qursquoil sera en vacances alors que dans XACML 20
un utilisateur pouvait juste attribuer ses droits agrave un autre sujet Dans [64] les auteurs proposent un
framework pour lrsquoameacutelioration du profil de deacuteleacutegation XACML gracircce aux ontologies Les opeacuterations
de deacuteleacutegation ainsi que de veacuterification et de reacutevocation peuvent ecirctre effectueacutees selon les entiteacutes
impliqueacutees dans la deacuteleacutegation et le flux geacuteneacutereacute par lrsquoinstanciation des classes de lrsquoontologie et de
leurs interrelations [64] Le systegraveme est complegravetement automatiseacute car les opeacuterations de deacuteleacutegation
sont reacutealiseacutees gracircce agrave un algorithme qui ne neacutecessite aucune intervention humaine
Dans le mecircme cadre des ontologies les auteurs dans [109] preacutesentent un framework de deacuteleacute-
gation pour systegravemes multiagents Ce modegravele utilise une ontologie baseacutee sur une base de connais-
sances et des politiques eacutecrites en Prolog La deacuteleacutegation entre agents dans lrsquoenvironnement multi-
organisationnel se fait en utilisant de la confiance mutuelle entre agents afin de former les chaicircnes
de deacuteleacutegation Cependant lrsquoeacutevaluation de la confiance nrsquoest pas deacutetailleacutee et dans ce travail elle nrsquoa
pas eacuteteacute inteacutegreacutee dans lrsquoeacutevaluation de la regravegle de la deacuteleacutegation Bien que des eacutetiquettes pour deacutesigner
si un objet peut ecirctre redeacuteleacutegueacute soient utiliseacutees ainsi que des agents de seacutecuriteacute pour controcircler les
agents qui srsquoentre deacutelegraveguent les ressources le problegraveme avec les chaicircnes reste un peu similaire au
controcircle drsquoaccegraves discreacutetionnaire dans le sens ougrave cela peut amener le systegraveme dans un eacutetat drsquoinseacute-
curiteacute agrave cause de fuites drsquoinformations par exemple dans le cas ougrave un des agents de seacutecuriteacute est
73
Chapitre 3 Eacutetat de lrsquoart
compromis
327 Vers une implantation formelle de XACML
Comme nous venons de le souligner dans la section cf 3242 de nombreux travaux ont exploreacute
lrsquoideacutee de donner un formalisme logique au langage XACML Pour la mise en oeuvre de notre modegravele
de controcircle drsquoaccegraves dynamique nous avons fait le choix drsquoutiliser la logique temporelle de premier
ordre Event-Calculus [116 148] que nous allons maintenant preacutesenter
Event-calculus
Event-calculus est un langage formel pour repreacutesenter et raisonner sur des systegravemes dynamiques [21]Le formalisme logique de premier ordre Event-calculus inclut une arithmeacutetique pour la gestion du
temps drsquooccurrence drsquoeacuteveacutenements Lrsquooccurrence drsquoun eacuteveacutenement (eacutegalement appeleacute action ldquoA rdquo) pro-
voque un changement de lrsquoeacutetat drsquoun (ou plusieurs) attribut(s) de lrsquoenvironnement Le terme ldquoFluentrdquo
ldquoF rdquo est utiliseacute pour repreacutesenter les eacutetats du systegraveme Il srsquoagit drsquoune proprieacuteteacute binaire du contexte qui
agrave travers le temps ldquoT rdquo prend les valeurs ldquovrairdquo ou ldquofauxrdquo
Event-calculus utilise des preacutedicats eacutecrits en clauses de Horn [52] pour la gestion des eacuteveacutenements
et leurs fluents Les principaux preacutedicats drsquoEvent-calculus sont mdash Ini t iates(e f t ) agrave partir du lrsquoinstant t + 1 lrsquoeacutetat du fluent f prend la valeur vraie si lrsquoeacuteveacutenement e
se produit agrave lrsquoinstant t
mdash Ter minates(e f t ) apregraves lrsquooccurrence agrave lrsquoinstant t de lrsquoeacuteveacutenement e lrsquoeacutetat du fluent f est drsquoores
et deacutejagrave changeacute agrave faux
mdash Happens(e t ) forcer etou indiquer lrsquooccurrence de lrsquoeacuteveacutenement e agrave lrsquoinstant t
mdash HoldsAt ( f t ) veacuterifier etou indiquer lrsquoeacutetat (vraifaux) du fluent f agrave lrsquoinstant t
mdash Ini t iall yTr ue( f ) lrsquoeacutetat du fluent f est initialement (lrsquoinstant 0) faux
mdash Ini t iall y Fal se( f ) lrsquoeacutetat du fluent f est initialement (lrsquoinstant 0) vraimdash Clipped(t1 f t2) lrsquoeacutetat du fluent f change de vrai agrave faux durant lrsquointervalle du temps [t1 t2]mdash Declipped(t1 f t2) lrsquoeacutetat du fluent f change de faux agrave vrai durant lrsquointervalle du temps [t1 t2]mdash Tr a ject or y( f1 t1 f2 t2) [179] si le fluent f1 est initialiseacute agrave lrsquoinstant t1 alors le fluent f2 devient
vrai agrave lrsquoinstant t1 + t2
Event-Calculus supporte plusieurs modes de raisonnement agrave savoir deacuteductif inductif et abduc-
tif [166] Le raisonnement deacuteductif utilise la description du comportement du systegraveme avec lrsquohisto-
rique des eacuteveacutenements qui se produisent dans le systegraveme afin de deacuteriver les fluents qui sont initialiseacutes
(vrai) agrave un instant donneacute Lrsquoinduction permet de deacuteriver la description du comportement du systegraveme
agrave partir drsquoun eacuteveacutenement historique donneacute et des informations sur les eacutetats de fluents qui sont valideacutes
(vrai) agrave des instants diffeacuterents [21] Dans notre meacutecanisme de controcircle drsquoaccegraves nous nous sommes
baseacutes sur le mode de raisonnement abductif 42 Par deacutefinition le raisonnement abductif cherche agrave
trouver les causes des situations Lrsquoutilisation du raisonnement abductif dans Event-calculus consiste
drsquoabord agrave speacutecifier en amont lrsquoeacutetat initial de lrsquoenvironnement du systegraveme avec lrsquoeacuteventuel but(s) at-
42 Discuteacute par Charniak and McDermott (1985chap8) Shanahan (1989 1997b chap17 2000a) Denecker Missiaenet Bruynooghe (1992) et Hobbs Stickel Appelt et Martin (1993) [147]
74
32 Controcircle drsquoaccegraves
tendu(s) Ensuite suivant le raisonnement abductif on veacuterifie si le but est satisfait agrave un instant preacutecis
et ce agrave travers un scheacutema baseacute sur lrsquooccurrence drsquoune suite drsquoeacuteveacutenements En drsquoautres termes eacutetant
donneacute un eacutetat initial de lrsquoenvironnement le raisonneur deacutetermine la seacutequence drsquoeacuteveacutenements dont
lrsquooccurrence est neacutecessaire pour atteindre agrave un instant preacutecis un objectif initialement preacutedeacutefini Cela
correspond parfaitement agrave notre vision de politiques de seacutecuriteacute et leurs scheacutemas drsquoautorisation En
effet nous consideacuterons les politiques comme eacutetant une prescription dans laquelle un objectif de seacute-
curiteacute est veacuterifieacute agrave travers le comportement du systegraveme Ce dernier est agrave tout instant dans un eacutetat
donneacute qui est susceptible de changer suite agrave lrsquooccurrence de certains eacuteveacutenements eacuteventuellement
controcircleacutes
Pourquoi Event-Calculus
Nous croyons vigoureusement qursquoun formalisme logique est plus approprieacute pour lrsquoimplantation
des politiques de seacutecuriteacute notamment dans le contexte des reacuteseaux sociaux ougrave les politiques sont deacute-
finies par des utilisateurs majoritairement humains En effet le formalisme logique offre au systegraveme
une ouverture au raisonnement et agrave lrsquoanalyse de satisfaction des formules ce qui permet de veacuteri-
fier la consistance des politiques deacutefinies Cette veacuterification peut bien eacutevidemment ecirctre automatique
lorsque le formalisme est doteacute drsquoun outil de raisonnement agrave lrsquoimage des solveurs SAT Event-Calculus
dispose drsquoun tel outil de raisonnement appeleacute Dec-reasoner Dec-reasoner est conccedilu pour raisonner
sur la satisfaction des preacutedicats Event-Calculus Ainsi les politiques deviennent plus preacutecises et ex-
pressives avec une repreacutesentation flexible et non ambigueuml En outre la veacuterification des conflits entre
politiques ainsi que leurs validations (en vue de la prise de deacutecision) devient facile et pratique
Event-Calculus a eacuteteacute initialement utiliseacute par Bandara et al dans [21] pour la modeacutelisation du
controcircle drsquoaccegraves Pour nous la principale motivation derriegravere lrsquoutilisation de ce formalisme de lo-
gique de premier ordre est la prise en charge de lrsquoaspect temporel ce qui nous a permis de rendre
notre modegravele de deacutecision dynamique Plus preacuteciseacutement les deacutecisions des politiques sont eacutevalueacutees de
maniegravere continue car lrsquoeffet (permitdeny) de chaque instance de politique constitue un eacutetat drsquoun
lrsquoobjet (la politique) dans lrsquoenvironnement qui peut changer agrave tout moment suite agrave lrsquooccurrence de
certains eacuteveacutenements Par conseacutequent lrsquoaccegraves drsquoun acteur autoriseacute par la politique initiale peut ecirctre
suspendu agrave tout moment En outre lrsquoaspect temporel nous a permis de geacuterer les permissions tem-
poraires dites aussi deacuteleacutegation et ce drsquoune maniegravere auto-reacutevocable En effet Event-Calculus inclut
une arithmeacutetique de gestion du temps ainsi que des preacutedicats (agrave lrsquoimage de Trajectory) qui permet
de parameacutetrer le changement drsquoun eacutetat donneacute de lrsquoenvironnement vers un nouvel eacutetat et ce apregraves
un intervalle de temps preacutedeacutefini Gracircce agrave cela les permissions temporaires ne constituent plus un
problegraveme pour la formalisation logique
DEC-reasoner
Il existe trois outils de raisonnement pour Event-Calculus 43 agrave savoir Event calculus answer set
programming Discrete Event Calculus Reasoner et Discrete event calculus theorem proving Nous nous
43 http decreasonersourceforgenetcsrindexhtml
75
Chapitre 3 Eacutetat de lrsquoart
inteacuteressons au Discrete Event Calculus Reasoner (DEC-reasoner) 44 [146] qui est fondeacute sur des solveurs
SAT (Relsat Walksat et MiniSat) et inclut le mode de raisonnement abductif Ainsi nous nous basons
sur le DEC-Reasoner et le solveur Relsat pour la veacuterification et la validation de politiques de seacutecuriteacute
de notre modegravele de controcircle drsquoaccegraves DEC-Reasoner supporte aussi
mdash the commonsense law of inertia le principe de loi de lrsquoinertie dans lequel un eacutetat du systegraveme
persiste agrave travers le temps tant qursquoil y a pas drsquoeacuteveacutenement qui permet de lrsquoarrecircter et de mettre
le systegraveme dans un autre eacutetat appartenant agrave un ensemble limiteacute de situations ie le problegraveme
du cadre
mdash des contraintes sur les changements drsquoeacutetat (causeacutes par lrsquooccurrence drsquoeacuteveacutenement) de lrsquoenvi-
ronnement
mdash release from the commonsense law of inertia libeacuteration du systegraveme drsquoun eacutetat drsquoinertie initial
mdash effets et eacuteveacutenements indirects un eacutetat peut conduire agrave drsquoautre(s) eacutetat(s) ou le deacuteclenchement
drsquoun nouvel eacuteveacutenement peut ecirctre provoqueacute par drsquoautre(s) eacuteveacutenement(s) etou eacutetat(s)
mdash eacuteveacutenements non deacuteterministes eacutetant donneacutees les diffeacuterentes situations susceptibles de deacute-
couler drsquoun eacuteveacutenement il y a cependant aucune garantie du reacutesultat final obtenu apregraves lrsquooc-
currence de lrsquoeacuteveacutenement en question
mdash aspect concurrentiel des eacuteveacutenements plusieurs eacuteveacutenements peuvent se produire au mecircme
moment provoquant lrsquoaccumulation ou lrsquoannulation de certains effets dans lrsquoenvironnement
Quand le raisonneur DEC-Reasoner est invoqueacute il transforme la description du domaine en un
problegraveme de satisfaisabiliteacute booleacuteenne (SAT) Gracircce aux solveurs SAT DEC-Reasoner donne une ou
plusieurs solutions sous forme de modegravele(s) Un modegravele est deacutecodeacute en fonction de la description
du domaine et afficheacute pour indiquer lrsquoeacutetat du systegraveme agrave chaque instant appartenant agrave lrsquointervalle
temporel de raisonnement et ainsi indiquer si le but a eacuteteacute satisfait (abduction) Par ailleurs DEC-
Reasoner est un outil open source ouvert aux contributions externes en vue de son ameacutelioration
Un exemple est la fonction DictHash pour lrsquoencodage SAT qui a eacuteteacute ameacutelioreacutee par Ehtesham Zahoor
dans [200 202] La fonction DictHash ameacutelioreacutee reacuteduit consideacuterablement le temps de lrsquoencodage
SAT
33 Conclusion
Dans ce chapitre nous avons introduit les concepts fondamentaux de la gestion des identiteacutes
numeacuteriques et leurs accreacuteditations Nous avons preacutesenteacute ces diffeacuterents concepts de gestion drsquoauthen-
tification et de controcircle drsquoaccegraves (autorisation et monitoring) avec un eacutetat de lrsquoart portant sur de
nombreux travaux (des standards des protocoles et des solutions) qui ont eacuteteacute eacutelaboreacutes et appliqueacutes
dans des contextes proches du nocirctre Nous avons eacutegalement discuteacute les avantages ainsi que les li-
mites que preacutesentent ces travaux vis-agrave-vis de notre contexte RSE Nous avons par ailleurs introduit
certains concepts compleacutementaires que nous avons utiliseacutes dans la conception et la mise en œuvre
de nos diffeacuterents composants (AAA) de seacutecuriteacute pour OpenPaaS RSE Dans le chapitre suivant nous
44 http decreasonersourceforgenet
76
34 Synthegravese de lrsquoeacutetat de lrsquoart
deacutetaillerons nos contributions sur la gestion de lrsquoauthentification de lrsquoautorisation et de lrsquoaudit des
eacutechanges collaboratifs au sein du RSE OpenPaaS
34 Synthegravese de lrsquoeacutetat de lrsquoart
Dans ce chapitre nous avons preacutesenteacute un eacutetat de lrsquoart sur les diffeacuterentes parties de la probleacutema-
tique que nous avons traiteacutee (cf chapitre Probleacutematique et motivations) agrave savoir la gestion des
identiteacutes numeacuterique et leurs autorisations dans les environnements collaboratifs et distribueacutes de type
reacuteseau social drsquoentreprise (RSE)
Dans le cadre de notre eacutetude des travaux sur lrsquoauthentification nous nous sommes focaliseacutes
sur la question du mode de gestion des identiteacutes numeacuterique collaboratives dans un contexte RSE
Agrave ce propos nous avons citeacute de nombreux outils drsquoauthentification comme lrsquoauthentification forte
(Fido [77]) lrsquoauthentification unique SSO (OpenID [162] OAuth [110]) et lrsquoauthentification feacutedeacutereacutee
(SAML [90] WS-federation [57]) Apregraves lrsquoeacutetude de ces nombreux travaux nous avons souligneacute les
avantages que procurent les meacutecanismes drsquoauthentification SSO Cependant la question qui reste
ouverte par rapport agrave notre contexte heacuteteacuterogegravene RSE est relative agrave lrsquointeropeacuterabiliteacute en matiegravere de
meacutecanismes drsquoauthentification utiliseacutes par les entreprises collaboratives En effet un de nos objectifs
est drsquooffrir agrave chaque entreprise la possibiliteacute de preacuteserver son meacutecanisme drsquoauthentification dans le
cadre collaboratif ie une authentification interentreprises La difficulteacute reacuteside dans le fait que les
meacutecanismes drsquoauthentification utiliseacutes par les entreprises sont incompatibles les uns avec les autres
Concernant la partie autorisation nous nous sommes pencheacutes sur les principaux travaux portant
sur le controcircle drsquoaccegraves dans les environnements collaboratifs comme MACDAC RBAC Or-BAC
et ABAC Nous avons eacutetudieacute les avantages ainsi que les limites de ces modegraveles par rapport agrave notre
contexte RSE et nos besoins de seacutecuriteacute qui se reacutesument agrave
bull la flexibiliteacute du modegravele de regravegle drsquoautorisation
bull lrsquointeropeacuterabiliteacute en matiegravere de regravegle drsquoautorisation
bull la fluiditeacute drsquoeacutechange de ressources collaboratives
bull lrsquoautonomie de lrsquoentreprise
bull la dynamiciteacute des regravegles drsquoautorisations
bull la gestion des permissions temporaires ie deacuteleacutegations
La flexibiliteacute du modegravele drsquoautorisations reacuteside dans la possibiliteacute de rajouter des contraintes agrave
une regravegle de controcircle drsquoaccegraves deacutefinie sur la base de ce modegravele Apregraves lrsquoeacutetude des solutions existantes
nous avons constateacute que le modegravele ABAC est le plus adeacutequat pour reacutepondre agrave un tel besoin gracircce agrave
la liberteacute de deacutefinition des attributs Les attributs permettent par ailleurs drsquohomogeacuteneacuteiser les seacuteman-
tiques de deacutefinition des profils des sujets des regravegles 45 de controcircle drsquoaccegraves entre plusieurs entreprises
ie lrsquointeropeacuterabiliteacute
La fluiditeacute drsquoeacutechange de ressources est lrsquoun des besoins essentiels drsquoun environnement ubiquitaire
tel qursquoun RSE En effet nous avons constateacute que lrsquoapproche user-centric [136 88 92] pour le partage
45 composeacutees initialement de sujet objet et action
77
Chapitre 3 Eacutetat de lrsquoart
de ressources est tregraves inteacuteressante pour la fluiditeacute des eacutechanges collaboratifs Agrave lrsquoimage du modegravele
DAC dans un partage user-centric le partage de ressources se fait par lrsquoutilisateur Cela signifie que
mecircme lrsquoautorisation drsquoaccegraves agrave la ressource partageacutee va ecirctre deacutefinie par lrsquoutilisateur Cependant les
autorisations de partage de ressources peuvent ecirctre en contradiction avec les politiques de lrsquoentreprise
proprieacutetaire des ressources agrave partager Pour reacutepondre agrave ce besoin nous avons souligneacute la neacutecessiteacute de
pouvoir combiner deux niveaux de politiques agrave savoir les politiques de partages deacutefinies au niveau de
lrsquoutilisateur et les politiques drsquoentreprise deacutefinies au niveau de lrsquoentreprise Pour ce faire nous avons
reacutealiseacute que le langage XACML est le plus adapteacute agrave une telle modeacutelisation de politique De plus le
langage XACML est le plus utiliseacute pour lrsquoimplantation du modegravele ABAC eg les projets Cardea [123]epSOS [7] NHIN [8]
Dans un environnement riche en interactions tel qursquoun RSE les politiques entreprise ne peuvent
pas ecirctre de la mecircme freacutequence ni du mecircme niveau drsquoabstraction que celles des utilisateurs Drsquoune part
une entreprise ne peut pas deacutefinir une nouvelle regravegle pour chaque nouveau partage de ressource et
drsquoautre part une regravegle drsquoentreprise ne peut pas prendre la forme drsquoune regravegle de partage (ie sujet
objet et action) Les politiques drsquoentreprises doivent ainsi ecirctre deacutefinies avec un niveau drsquoabstraction
plus eacuteleveacute tout en eacutetant capable de controcircler chaque regravegle de partage Pour reacutepondre agrave ces besoins
nous nous sommes tourneacutes vers le controcircle drsquoaccegraves dynamique [178] pour la deacutefinition des politiques
drsquoentreprise Nous avons eacutetudieacute la gestion du risque [151] ainsi que la confiance numeacuterique [12] et
la reacuteputation [107] dans le cadre de la supervision des comportements des acteurs de collaboration
Par ailleurs le partage user-centric exige une vigilance dans la deacutefinition des politiques de par-
tage de ressources En effet un utilisateur peut deacutefinir une regravegle drsquoune politique de controcircle drsquoaccegraves
non correcte ce qui va provoquer des incoheacuterences au moment de la combinaison avec une politique
drsquoentreprise Pour reacutepondre agrave ce besoin de veacuterification de la coheacuterence des politiques nous avons eacutetu-
dieacute plusieurs solutions baseacutees sur XACML [164] Cependant nous avons constateacute que la veacuterification
baseacutee sur XACML est coucircteuse en temps et en traitement notamment lorsqursquoil srsquoagit drsquoun environ-
nement ubiquitaire tel qursquoun RSE Par conseacutequent nous nous sommes pencheacutes sur les formalismes
logiques [114 45 138] pour la veacuterification automatique de la coheacuterence des politiques de controcircle
drsquoaccegraves
Dans notre eacutetude des formalismes logiques pour la deacutefinition drsquoun modegravele de politique de controcircle
drsquoaccegraves nous avons pris en consideacuteration deux paramegravetres essentiels par rapport agrave nos objectifs de seacute-
curiteacute au sein du RSE agrave savoir le calcul drsquoeacuteveacutenements [91] ainsi que le temps Le calcul drsquoeacuteveacutenements
nous permet drsquoavoir un controcircle drsquoaccegraves dynamique baseacute sur lrsquooccurrence en temps reacuteel drsquoeacuteveacutenements
dans lrsquoenvironnement collaboratif La gestion du temps nous permet de geacuterer les autorisations tem-
poraires auto-reacutevocables (les deacuteleacutegations) [205] Dans les travaux offrant un formalisme logique au
langage XACML que nous avons eacutetudieacutes ces deux paramegravetres (les eacuteveacutenements et le temps) ne sont
pas pris en consideacuteration Par conseacutequent nous avons choisi un autre formalisme logique qui prend
en consideacuteration le calcul drsquoeacuteveacutenements et la gestion du temps pour la modeacutelisation de notre propre
modegravele de seacutecuriteacute ABAC avec une implantation XACMl Il srsquoagit de la logique du premier ordre
Event-Calculus [147] avec comme raisonneur lrsquooutil Dec-reasoner 46 pour la veacuterification automatique
46 ht tp decreasonersource f or genet
78
34 Synthegravese de lrsquoeacutetat de lrsquoart
de la coheacuterence des politiques ainsi que la prise des deacutecisions drsquoaccegraves
79
Chapitre 4
Architecture et gestion des identiteacutes
numeacuteriques
Sommaire
41 Introduction 79
42 Gestion et administration des identiteacutes et ressources 79
421 Gestion des ressources 80
422 Gestion des politiques 81
423 Gestion des identiteacutes numeacuteriques 82
43 Conclusion 91
41 Introduction
Le premier axe de recherche de cette thegravese concerne la conception drsquoune architecture de seacutecuri-
sation adapteacutee aux communauteacutes RSE En effet lrsquoideacutee drsquoune collaboration professionnelle agrave travers
une communauteacute RSE consiste agrave regrouper diverses disciplines et compeacutetences dans un cadre colla-
boratif et coopeacuteratif commun Agrave titre de rappel une communauteacute est une entiteacute logique faisant lrsquoobjet
drsquoun cercle commun regroupant plusieurs entiteacutes collaboratrices passives etou actives Quant au RSE
crsquoest le cercle qui regroupe lrsquointeacutegraliteacute de ces communauteacutes de collaboration Par conseacutequent nous
avons besoin de deacutefinir lrsquoarchitecture de collaboration dans ces environnements collaboratifs Cette
architecture va deacuteterminer la maniegravere dont seront geacutereacutees les entiteacutes collaboratives (actives et pas-
sives) au sein drsquoune communauteacute Dans la section suivante nous preacutesentons les diffeacuterents types de
collaborations utiliseacutes dans les environnements collaboratifs distribueacutes
42 Gestion et administration des identiteacutes et ressources
Notre vision du reacuteseau social social drsquoentreprise est fondeacutee sur le principe de collaboration profes-
sionnelle entre des entreprises et les personnes qursquoelles regroupent En effet une entreprise peut ecirctre
81
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
vue comme un ensemble logique regroupant des ressources et des identiteacutes drsquoacteurs collaboratifs
Par conseacutequent pour qursquoun acteur puisse interagir (ie partager etou consommer des ressources)
avec drsquoautres acteurs au sein drsquoune communauteacute RSE il a besoin drsquoecirctre repreacutesenteacute par une entiteacute qui
permettra de reacutefeacuterencer ses informations identitaires ainsi que ses ressources destineacutees agrave la collabo-
ration
Les gestion et lrsquoadministration de la seacutecuriteacute dans une communauteacute peut ecirctre deacutefinie selon plu-
sieurs dimensions agrave savoir la gestion des ressources la gestion des politiques et la gestion des acteurs
421 Gestion des ressources
Afin de permettre agrave chaque entreprise de preacuteserver son autonomie sur la gestion des ressources
collaboratives et de promouvoir en outre le passage agrave lrsquoeacutechelle dans le processus de partage de
ressources nous avons choisi un mode de partage qui se base sur la virtualisation des ressources
Plus preacuteciseacutement les ressources physiques restent heacutebergeacutees au niveau des serveurs de lrsquoentre-
prise Avant drsquoecirctre partageacutee chaque ressource est virtualiseacutee dans la communauteacute RSE Dans ce
contexte la virtualisation consiste agrave geacuteneacuterer lien (logique) qui permet drsquoacceacuteder agrave la ressource phy-
sique au niveau du serveur de lrsquoentreprise depuis la communauteacute Les informations concernant la
virtualisation des ressources peuvent ecirctre stockeacutees au niveau drsquoun module appeleacute VGDS (Virtual Glo-
bal Directory Service) [17] Le VGDS contient des identifiants de virtualisation faisant reacutefeacuterence aux
chemins des ressources physiques heacutebergeacutees sur les serveurs de lrsquoentreprise Le VGDS sera ainsi agrave dis-
position de la communauteacute ougrave seront deacuteployeacutees les ressources en question En reacutecapitulant au sein
drsquoune communauteacute donneacutee une requecircte de demande drsquoaccegraves eacutetablie par un acteur se fait vis-agrave-vis
drsquoun identifiant de ressource virtualiseacutee Ensuite une fois les droits drsquoaccegraves veacuterifieacutes par le meacutecanisme
de controcircle drsquoaccegraves de la communauteacute lrsquoaccegraves agrave la ressource physique aura lieu au niveau du serveur
de lrsquoentreprise proprieacutetaire en question comme cela est illustreacute dans la figure 41
Rx
RxVirtualized
VGDSVirtual Global Directory
Service
communauteacute
FIGURE 41 ndash Virtualisation des ressources collaborative(VGDS)
82
42 Gestion et administration des identiteacutes et ressources
422 Gestion des politiques
Drsquoun point de vue architecture une politique est consideacutereacutee comme une ressource particuliegravere
Pour la gestion de politiques (figure 42) nous avons mis en place une base commune de politiques
au niveau de chaque communauteacute RSE (ie centraliseacutee) Cette base de politiques est administreacutee
de maniegravere autonome et indeacutependante par toute entiteacute collaboratrice active agrave savoir les acteurs et
les entreprises Lrsquoadministration de la base de politiques consiste agrave ajouter modifier etou suppri-
mer des politiques (ensemble de regravegles) de controcircle drsquoaccegraves aux ressources partageacutees Lrsquoensemble
des politiques est mis en application (exeacutecution) par un meacutecanisme de controcircle drsquoaccegraves central au
niveau de la communauteacute Cette conception drsquoarchitecture a pour objectif de reacutepondre au besoin
drsquointeropeacuterabiliteacute gracircce agrave un modegravele homogegravene de politiques agrave base drsquoattributs identitaires drsquoune
entiteacute active En outre sachant que le controcircle drsquoaccegraves se fait drsquoune maniegravere centraliseacutee au niveau de
la communauteacute RSE (regroupant plusieurs entreprises) cette architecture permet de promouvoir la
fluiditeacute et lrsquoagiliteacute pour le partage des ressources
Par ailleurs afin de tirer avantage de la flexibiliteacute de la collaboration ad-Hoc (ie de courte dureacutee)
nous proposons une approche de deacutefinition de regravegles centreacutee sur lrsquoacteur collaboratif une approche
qui est coheacuterente avec la nature des reacuteseaux sociaux en geacuteneacuteral En effet lorsqursquoun acteur partage
une ressource donneacutee avec un autre acteur au sein de la mecircme communauteacute il deacutefinit une regravegle
de controcircle drsquoaccegraves Cette regravegle contient principalement quatre attributs agrave savoir la ressource le
sujet qui va la consommer lrsquoaction autoriseacutee sur la ressource et eacuteventuellement la dureacutee de mise
agrave disposition Lrsquoensemble de ces attributs est ensuite stockeacute sous forme drsquoune regravegle au niveau de la
base commune des politiques de controcircle drsquoaccegraves de la communauteacute
communauteacute
VGDSPolitiques controcircle daccegraves
Module controcircle daccegraves
Politique
RxVirtualized
Rx
Jessy
James
FIGURE 42 ndash Controcircle drsquoaccegraves dans les communauteacutes de collaboration
Enfin il est eacutegalement important de respecter la proprieacuteteacute du faible couplage dans un environ-
nement RSE pour que lrsquoentreprise garde son autonomie sur les ressources partageacutees par ses acteurs
83
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
(ie personnel) Par conseacutequent nous avons conccedilu notre modegravele de controcircle drsquoaccegraves de telle sorte
qursquoil soit capable de combiner plusieurs politiques issues de plusieurs entiteacutes actives (y compris les
entreprises) Ainsi la base de politiques de la communauteacute peut aussi bien ecirctre geacutereacutee par les entre-
prises que par les acteurs collaboratifs De plus amples deacutetails agrave ce propos seront preacutesenteacutes dans le
chapitre cfControcircle drsquoaccegraves
Pour reacutesumer comme le montre la figure 42 un acteur demandeur drsquoaccegraves accegravede agrave une ressource
(heacutebergeacutee sur le serveur de lrsquoentreprise proprieacutetaire) agrave travers un lien de la ressource (virtualiseacutee)
geacuteneacutereacute par le VGDS Lrsquoaccegraves est soumis agrave une proceacutedure de veacuterification de droits assureacutee par un
module de controcircle drsquoaccegraves qui se base sur les politiques deacutefinies par lrsquoentreprise proprieacutetaire et
lrsquoacteur interne (James) agrave cette entreprise qui partage la ressource en question avec le demandeur
drsquoaccegraves (Jessy)
423 Gestion des identiteacutes numeacuteriques
Vu que chaque communauteacute est indeacutependante nous proposons que tout acteur possegravede une
identiteacute propre agrave chaque communauteacute Comme le montre la figure 43 dans notre conception chaque
acteur possegravede une identiteacute initiale ldquoID internerdquo relieacutee agrave son entreprise Cet identifiant interne sera
le noyau des identifiants externes qui seront creacuteeacutes (en interne 47) en vue de leurs exportations au
niveau des communauteacutes dont fera partie lrsquoacteur en question La liaison entre un identifiant externe
et son identifiant interne au niveau de son fournisseur drsquoidentiteacute initiale est assureacutee par le biais de
la feacutedeacuteration
ID interne
Externe ID2
Externe ID1
Attributsltcleacutevaleurgt
Externe ID1
Communauteacute 1
Domaine de lidentiteacute initiale du sujet
(entreprise)
Externe ID3
Acteur
Jeton dauthentification
Communauteacute 2
Communauteacute 3
Comm
ID2
ID3
RSE
FIGURE 43 ndash Gestion des identiteacute dans les communauteacutes feacutedeacutereacutees
47 Au niveau de lrsquoentreprise de lrsquoacteur en question
84
42 Gestion et administration des identiteacutes et ressources
4231 Feacutedeacuteration des identiteacutes numeacuteriques
Quand un acteur rejoint une communauteacute donneacutee il y creacutee son identiteacute relative agrave des attributs
demandeacutes par le gestionnaire drsquoidentiteacutes de la communauteacute en question Les valeurs des attributs
seront dans un premier temps veacuterifieacutes aupregraves du fournisseur drsquoidentiteacutes de lrsquoacteur en question dans
le cadre de la feacutedeacuteration Apregraves la validation des attributs le fournisseur drsquoidentiteacutes de lrsquoentreprise
geacutenegravere un identifiant externe le relie agrave lrsquoidentifiant interne de lrsquoacteur ensuite lrsquoenvoie agrave la com-
munauteacute en question Au niveau de la communauteacute cibleacutee lrsquoidentifiant externe est relieacute en tant que
principal ID (ie cleacute primaire) agrave lrsquoensemble des attributs fournis par lrsquoacteur et valideacutes par son four-
nisseur drsquoidentiteacutes (entreprise) Une fois le processus drsquoinscription finaliseacute lrsquoacteur sera confronteacute agrave
une proceacutedure drsquoauthentification agrave chaque fois qursquoil souhaite rejoindre la communauteacute en question
Le processus drsquoauthentification veacuterifie lrsquoauthenticiteacute des attributs qui forment lrsquoidentiteacute drsquoun ac-
teur Dans un contexte distribueacute le processus drsquoauthentification implique en geacuteneacuteral trois entiteacutes
agrave savoir lrsquoacteur le fournisseur drsquoidentiteacutes et le fournisseur de services [32] Lrsquoacteur est le sujet
qui cherche agrave prouver la leacutegitimiteacute de son identiteacute afin drsquoacceacuteder agrave une ressource proteacutegeacutee Le four-
nisseur drsquoidentiteacutes est lrsquoentiteacute qui stocke et gegravere lrsquoidentiteacute de lrsquoacteur Le fournisseur drsquoidentiteacutes peut
eacuteventuellement se porter garant de lrsquoacteur aupregraves drsquoautres fournisseurs drsquoidentiteacutes ou de service et
ce en leur communicant des certificats ou jetons drsquoauthentification Quant au fournisseur de services
il est comme un consommateur de lrsquoidentiteacute de lrsquoacteur qui est issue (directement ou indirectement)
du fournisseur drsquoidentiteacutes de ce dernier En drsquoautres mots le fournisseur de services est le portail qui
protegravege lrsquoaccegraves agrave une ressource proteacutegeacutee en veacuterifiant lrsquoauthenticiteacute de lrsquoidentiteacute du demandeur drsquoac-
cegraves Trois conceptions drsquoarchitecture sont possibles pour une interaction dans laquelle le fournisseur
drsquoidentiteacutes peut ecirctre perccedilu comme eacutetant un proxy entre lrsquoacteur et le fournisseur de services [32]
Interactive Active Client et Credential-based
Comme son nom lrsquoindique un systegraveme Interactive est baseacute sur lrsquointeraction entre le fournisseur
drsquoidentiteacutes et le fournisseur de services Tel qursquoillustreacute dans la figure 44 apregraves que le fournisseur
drsquoidentiteacutes reccediloive la demande drsquoapprobation de la part du fournisseur de services concernant la
requecircte de lrsquoacteur en question ce dernier doit (au moins une fois) srsquoauthentifier aupregraves de son
fournisseur drsquoidentiteacutes
La configuration Active Client (figure 45) est similaire agrave lrsquoInteractive agrave la diffeacuterence que la ges-
tion du transfert des messages (jetons requecirctes attributs etc) entre le fournisseur de services et
drsquoidentiteacute est centreacutee sur lrsquoacteur Cela signifie qursquoil nrsquoy a pas drsquointeraction directe entre les deux four-
nisseurs pour lrsquoauthentification de lrsquoacteur Neacuteanmoins la deacutelivrance drsquoun jeton drsquoauthentification
de la part du fournisseur drsquoidentiteacutes se fait agrave la connaissance du fournisseur service en question ce
qui signifie qursquoagrave lrsquoimage du systegraveme Interactive le fournisseur drsquoidentiteacutes garde une traccedilabiliteacute des
interactions de lrsquoacteur
Enfin la derniegravere conception Credential-based est diffeacuterente des deux preacuteceacutedentes En effet lrsquoac-
teur srsquoauthentifie indeacutependamment aupregraves de son fournisseur drsquoidentiteacutes (en fonction du protocole
utiliseacute par ce dernier) et reacutecupegravere ainsi des Credentials qursquoil pourra utiliser aupregraves de fournisseur(s)
de service(s) conventionneacute(s) avec son fournisseur drsquoidentiteacutes Des Credentials sont des artefacts
85
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
FIGURE 44 ndash Authentification Interactive
FIGURE 45 ndash Authentification Active-client
transfeacuterables fournis par un fournisseur drsquoidentiteacutes agrave un utilisateur authentifieacute en guise de preuve
drsquoauthentification eg signatures numeacuteriques certificats X509 assertions SAML Par conseacutequent
les interactions de lrsquoacteur ne sont plus traccedilables par le fournisseur drsquoidentiteacutes En outre lrsquoacteur
dispose drsquoune liberteacute drsquoutilisation et de reacuteutilisation des Credentials (figure 46)
Les trois preacuteceacutedentes configurations preacutesentent certains avantages en matiegravere de gestion drsquoau-
86
42 Gestion et administration des identiteacutes et ressources
FIGURE 46 ndash Authentification Credential-Based
thentification En revanche utiliseacutees telles quelles dans notre contexte de communauteacutes heacuteteacuterogegravenes
elles ne sont pas sans failles ni limites Le systegraveme Interactive ainsi que Active-Client sont assez vul-
neacuterables en matiegravere de preacuteservation de vie priveacutee en ce qui concerne les interactions de lrsquoacteur ce
qui donne la possibiliteacute (dans le cas ougrave le fournisseur drsquoidentiteacutes est compromis) par exemple de
reconstruire des processus meacutetiers deacutecomposeacutes et deacuteployeacutes dans la mecircme voire dans plusieurs com-
munauteacutes [15] Par ailleurs les configurations Active-Client et Credentials-based qui bannissent toutes
interactions directes entre le fournisseur de services et le fournisseur drsquoidentiteacutes concentrent beau-
coup de pouvoir sur lrsquoacteur En fait le client peut ecirctre consideacutereacute comme la partie la plus vulneacuterable
par rapport aux fournisseurs drsquoidentiteacutes et de services Ainsi si le client se fait usurper son iden-
titeacute le fournisseur de services ne pourra pas deacutetecter cette violation En effet ce problegraveme concerne
davantage la configuration Active-Client que la Credentials-based Car cette derniegravere se base sur un
systegraveme de combinaison drsquoattributs permettant de veacuterifier (au niveau du fournisseur de services)
si lrsquoacteur qui preacutesente les Credentials est bien celui qursquoil preacutetend ecirctre Cette veacuterification se fait au
moyen drsquoattribut(s) suppleacutementaire(s) lieacute(s) aux Credentials et stockeacute(s) au niveau du fournisseur
de services Ces attributs font office de cleacute secregravete partageacutee entre les deux parties comme proposeacute
par Idemix ou U-Prove Neacuteanmoins sachant que dans notre contexte le fournisseur drsquoidentiteacutes peut
se faire remplacer par lrsquoentreprise il est difficile de partager mutuellement de tels attributs entre
toutes les entreprises appartenant agrave une communauteacute donneacutee Cela signifie que lrsquointeraction entre le
fournisseur de services et le fournisseur drsquoidentiteacutes est ineacutevitable le challenge eacutetant alors de savoir
comment lrsquoexploiter de maniegravere optimale
Un fournisseur drsquoidentiteacutes peut ecirctre en parallegravele fournisseur de services dans le sens ougrave il veacuteri-
fie les identiteacutes drsquoacteurs externes et fournit des accreacuteditations et approbations aux acteurs internes
aupregraves drsquoautres fournisseurs drsquoidentiteacutes et de services Techniquement la communication entre deux
fournisseurs se fait au moyen de jeton certificat ou Credentials qui deacutependent du protocole utiliseacute
au niveau du fournisseur drsquoidentiteacutes Ce moyen de communication doit ecirctre compatible avec ce-
87
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
lui utiliseacute au niveau du fournisseur de services Dans le cas ougrave les fournisseurs drsquoidentiteacutes-services
utiliseacutes par deux ou plusieurs entreprises drsquoune mecircme communauteacute ne sont pas compatibles la pro-
ceacutedure drsquoauthentification peut engendrer des problegravemes drsquointeropeacuterabiliteacute Pour reacutesoudre ce pro-
blegraveme drsquointeropeacuterabiliteacute dans un contexte feacutedeacutereacute nous nous sommes baseacutes sur lrsquoutilisation de lrsquooutil
LemonLDAP-NG
4232 LemonLDAP-NG
LemonLDAP-NG est un outil Open source drsquoauthentification unique Capable de geacuterer plus 200
000 utilisateurs [130 129] LLDAP-NG supporte plusieurs protocoles drsquoauthentification agrave savoir
Active Directory Apache (Kerberos NTLM OTP etc) BrowserID (Mozilla Persona) CAS Facebook
(OAuth20) Google LDAP directory OpenID Radius Remote LemonLDAP-NG Proxy LemonLDAP-NG
SAML 20 Shibboleth Slave SSL Twitter (OAuth) WebID Yubikey Pour le processus drsquoauthentifi-
cation et la gestion des mots de passe utilisateurs en plus des protocoles LDAP et Active Directory
LemonLDAP-NG est aussi capable drsquoutiliser plusieurs types de base de donneacutees via une interface Perl
(ie DBI) agrave savoir MySQL PostgreSQL Oracle etc LemonLDAP-NG agit eacutegalement en tant que four-
nisseur drsquoidentiteacutes via les protocoles SAML Shibboleth identity-provider OpenID identity-provider
CAS identity-provider 48 Les principaux modules qui composent LemonLDAP-NG sont
bull Manager Utiliseacute pour administrer la configuration de lrsquoutilisation de LemonLDAP-NG et pour
parcourir les sessions des utilisateurs
bull Portal Principalement utiliseacute comme interface drsquoauthentification pour les utilisateurs le
Portal propose les diffeacuterents modes drsquoauthentification disponibles sous LemonLDAP-NG 49 En
outre le Portal fournit les identiteacutes numeacuteriques gracircce au fournisseur drsquoidentiteacutes CAS OpenID
et SAML Le Portal agit eacutegalement en tant que Proxy permettant de transfeacuterer des jetons
drsquoauthentification entre meacutecanismes drsquoauthentification heacuteteacuterogegravenes comme OpenID CAS etc
Par ailleurs le Portal permet de reacutealiser drsquoautres fonctionnaliteacutes de gestion comme changer
le mot de passe notifier lrsquoutilisateur afficher une liste des applications autoriseacutees
bull Handler Module Apache utiliseacute pour proteacuteger les applications au moment ougrave un utilisateur
essaye drsquoy acceacuteder le Handler protegravege les applications en veacuterifiant lrsquoexistence drsquoune certi-
fication (issue drsquoun meacutecanisme drsquoauthentification) de lrsquoidentiteacute de lrsquoutilisateur Si une telle
certification nrsquoest pas en possession de lrsquoutilisateur le Handler le redirige vers le Portal drsquoau-
thentification
La figure 47 montre le sceacutenario drsquoaccegraves agrave une ressource proteacutegeacutee gracircce agrave LemonLDAP-NG
48 Tous les fournisseurs drsquoidentiteacutes peuvent ecirctre utiliseacutes simultaneacutement ie sur le mecircme domaine49 Les modes drsquoauthentification doivent ecirctre preacuteconfigureacutes sur LemonLDAP-NG installeacute au niveau du domaine en ques-
tion
88
42 Gestion et administration des identiteacutes et ressources
FIGURE 47 ndash LemonLDAP-NG mode de fonctionnement [ref]
1 Un utilisateur tente drsquoacceacuteder agrave une application proteacutegeacutee sa requecircte est intercepteacutee par le
Handler
2 Si le Handler ne deacutetecte pas de cookie authentification unique (SSO) alors il redirige lrsquoutili-
sateur au Portal pour qursquoil srsquoauthentifie
3 Lrsquoutilisateur srsquoauthentifie agrave travers le Portal
4 Le Portal veacuterifie lrsquoauthentification
5 Si lrsquoutilisateur srsquoauthentifie avec succegraves le Portal collecte les informations sur lrsquoutilisateur
aupregraves de la base LDAP
6 Le Portal creacutee ensuite une session pour sauvegarder les informations sur lrsquoutilisateur
7 Le Portal reacutecupegravere la cleacute de session
8 le Portal creacutee un cookie drsquoauthentification unique SSO avec la cleacute de la session reacutecupeacutereacutee lors
de lrsquoeacutetape preacuteceacutedente
9 Lrsquoutilisateur est redirigeacute vers lrsquoapplication proteacutegeacutee muni de son cookie
10 Le Handler reacutecupegravere la session depuis le cookie fourni par lrsquoutilisateur
11 Le Handler sauvegarde sur son cache les donneacutees de lrsquoutilisateur
12 Le Handler communique les informations concernant lrsquoutilisateur en question agrave lrsquoapplication
proteacutegeacutee en vue de veacuterifier les droits drsquoaccegraves
13 Lrsquoapplication envoie la reacuteponse au Handler
14 Le Handler transmet la reacuteponse de lrsquoapplication agrave lrsquoutilisateur
Les protocoles drsquoauthentification dans LemonLDAP-NG peuvent ecirctre choisis par lrsquoutilisateur gracircce
au module backend choice Le module backend multi permet de chaicircner les authentifications parmi
une liste dans le sens ougrave degraves qursquoune authentification reacuteussit lrsquoutilisateur est connecteacute Par ailleurs
89
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
LemonLDAP-NG est adapteacute aux contextes distribueacutes feacutedeacutereacutes tel qursquoun RSE gracircce agrave son mode drsquoau-
thentification Remote LemonLDAP-NG authentication Ce mode de fonctionnement permet une au-
thentification inter-domaines dans le cadre drsquoune feacutedeacuteration La Remote authentication permet drsquouti-
liser les informations de session drsquoun utilisateur authentifieacute dans un domaine donneacute aupregraves drsquoautres
domaines exteacuterieurs compatibles La Remote authentication est une forme drsquoauthentification unique
car elle permet agrave un utilisateur de srsquoauthentifier une seule fois pour plusieurs domaines Ce mode
drsquoauthentification fonctionne sous la condition que le Portal secondaire 50 soit deacuteclareacute au niveau du
Manager du Portal initial 51(deacuteleacutegueacute) Une autre forme drsquoauthentification inter-domaines est la Proxy
authentification En effet LemonLDAP est capable drsquoagir en tant que Proxy en transmettant des je-
tons drsquoauthentification uniques drsquoun portail agrave un autre Ce mode drsquoauthentification est inteacuteressant
quand il srsquoagit drsquoexposer le Portal LemonLDAP pour une authentification interne 52 aux fournisseurs
drsquoidentiteacute externes
Accessoirement il existe un outil permettant la transformation et la synchronisation de bases
de donneacutees sous le format LDAP Cet outil open-source est connu sous le nom de Ldap Synchroni-
zation Connector (LSC) LSC synchronise les donneacutees depuis nrsquoimporte quelle source de donneacutees agrave
savoir une base de donneacutees un annuaire LDAP ou un simple fichier tout en lisant transformant et
comparant les donneacutees entre les sources et les reacutefeacuterentiels de destination [132]
4233 Authentification et interopeacuterabiliteacute
LemonLDAP-NG supporte la plupart des protocoles de gestion des identiteacutes numeacuteriques agrave sa-
voir LoginPSW OpenID OAuth SSL X509 CAS et cela en tant que fournisseur et consommateur
drsquoidentiteacute Par conseacutequent nous proposons drsquoutiliser LemonLDAP-NG comme une ldquopasserellerdquo entre
diffeacuterents meacutecanismes drsquoauthentification existants Techniquement nous utilisons LemonLDAP-NG en
tant que client de gestion drsquoauthentification au niveau des communauteacutes collaboratives du RSE et
ce en se basant sur les meacutecanismes drsquoauthentification des entreprises comme fournisseurs drsquoidentiteacute
numeacuteriques
Du coteacute entreprise nous proposons de mettre en place LemonLDAP-NG sur une surcouche lo-
gicielle de gestion des identiteacutes collaboratives LemonLDAP-NG fera office de fournisseur de jetons
drsquoauthentification SAML OpenID et CAS aupregraves des acteurs de lrsquoentreprise Parallegravelement il agira
en tant que consommateur drsquoidentiteacute (ie fournisseur de services) vis-agrave-vis des communauteacutes colla-
boratives dans lesquelles sont impliqueacutes les acteurs de lrsquoentreprise La proceacutedure de consommation
a pour but la validation de lrsquoidentiteacute de chaque acteur externe Elle se deacuteclenche suite agrave la reacuteception
drsquoun jeton de demande drsquoapprobation drsquoun acteur de la part du gestionnaire drsquoauthentification de la
communauteacute en question
En effet pour la conception de notre architecture drsquoauthentification distribueacutee et feacutedeacutereacutee nous
nous sommes baseacutes sur une extension de la conception Credentials-based Ce choix permet de preacuteser-
ver la confidentialiteacute des expeacuteriences collaboratives de lrsquoacteur afin drsquoeacuteviter une eacuteventuelle traccedilabiliteacute
50 Le Portal du domaine de lrsquoapplication solliciteacutee51 Qui fournit les informations de session de lrsquoutilisateur en question52 La base drsquoinformation sur les utilisateurs est disponible en interne
90
42 Gestion et administration des identiteacutes et ressources
de la part de tiers malveillants En outre la conception Credentials-based permet de reacuteduire la charge
de traitement pour le fournisseur drsquoidentiteacutes vu qursquoil ignore lrsquoobjet de chaque requecircte et se contente
seulement de fournir des Credentials universels permettant drsquoidentifier lrsquoacteur en question
Pour qursquoun acteur puisse srsquoauthentifier il demande dans un premier temps des Credentials agrave son
fournisseur drsquoidentiteacutes (ie son entreprise) Les Credentials seront geacuteneacutereacutes en fonction du protocole
drsquoauthentification du fournisseur drsquoidentiteacutes eg format OpenID ou SAML Ensuite lrsquoacteur four-
nit les Credentials au gestionnaire drsquoauthentification de la communauteacute qursquoil souhaite rejoindre Ce
dernier eacutetant compatible (gracircce agrave LemonLDAP) avec tous les formats de Credentials fournis sera en
mesure de proceacuteder agrave une proceacutedure drsquoauthentification en vue de la consommation drsquoune ressource
collaborative au sein de la communauteacute Pour cela une solution classique et typique Credentials-based
consisterait agrave partager une cleacute secregravete entre le fournisseur drsquoidentiteacutes de lrsquoentreprise de lrsquoacteur et le
gestionnaire drsquoidentiteacute de la communauteacute Comme nous lrsquoavons preacutesenteacute preacuteceacutedemment cette deacute-
marche nrsquoest pas tregraves seacutecuriseacutee ni facile agrave geacuterer dans un contexte ouvert tel qursquoune communauteacute RSE
Par conseacutequent nous avons modifieacute la configuration Credentials-based (illustreacutee dans la figure 46)
en y ajoutant une interaction entre les deux parties drsquoauthentification afin de veacuterifier que lrsquoidentiteacute
de lrsquoacteur en question nrsquoa pas eacuteteacute usurpeacutee tout en preacuteservant la confidentialiteacute des interactions col-
laboratives de lrsquoacteur La figure 48 montre le deacuteroulement de notre processus drsquoauthentification
feacutedeacutereacutee
1
2
3Certificat dauthentification
4
Fournisseur didentiteacuteLemonLDAPNGFournisseur de service
LemonLDAPNG
Entreprise
Acteur
Cre
dent
ials
Credentials + Id_externe
CommunauteacuteFeacutedeacuteration
FIGURE 48 ndash Processus drsquoauthentification
Jusqursquoagrave maintenant nous avons discuteacute les deux premiegraveres eacutetapes (1 et 2 de la figure 48) du
processus drsquoauthentification La troisiegraveme eacutetape illustre lrsquointeraction entre les deux parties En effet
gracircce agrave notre proceacutedure de gestion des identiteacutes des acteurs dans les communauteacutes nous pouvons
91
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
veacuterifier lrsquoauthenticiteacute drsquoun proprieacutetaire de Credentials sans avoir besoin de proceacutedures cryptogra-
phiques avanceacutees telles que le partage de cleacutes priveacutees Plus preacuteciseacutement notre gestion drsquoidentiteacute est
baseacutee sur les notions drsquoidentifiant interne immuable et propre agrave lrsquoentreprise de lrsquoacteur et un iden-
tifiant externe geacuteneacutereacute par le gestionnaire drsquoidentiteacute de lrsquoentreprise et lieacute agrave lrsquoidentifiant interne pour
une utilisation externe au sein drsquoune communauteacute donneacutee La geacuteneacuteration des Credentials est eacutegale-
ment deacutependante de lrsquoidentifiant interne Ainsi ce mix drsquoattributs permet de veacuterifier au niveau du
fournisseur drsquoidentiteacutes si lrsquoidentifiant externe de lrsquoacteur ainsi que les Credentials qursquoil preacutesente sont
conformes et ce par lrsquointermeacutediaire de lrsquoidentifiant interne de lrsquoacteur Plusieurs solutions peuvent
ecirctre proposeacutees dans le cadre de cette proceacutedure Une solution tregraves simple serait drsquoassocier une cleacute
unique agrave chaque identifiant interne et la deacutecomposer en deux parties qui seront associeacutees seacutepareacute-
ment agrave chaque instance drsquoidentifiant externe et Credentials Une fois les Credentials valideacutes par le
fournisseur drsquoidentiteacutes de lrsquoentreprise lrsquoacteur sera authentifieacute aupregraves du gestionnaire drsquoidentiteacute de
la communauteacute en question
Cependant le processus ne srsquoarrecircte pas agrave cette derniegravere eacutetape car lrsquoacteur voudra acceacuteder agrave des
ressources deacuteployeacutees dans le cadre de la communauteacute mais appartenant agrave drsquoautres entreprises Par
conseacutequent il est primordial que lrsquoidentiteacute de lrsquoacteur soit valideacutee aupregraves du meacutecanisme drsquoauthentifi-
cation de lrsquoentreprise proprieacutetaire de la ressource collaborative deacutesireacutee Pour cela nous nous servons
de la confiance mutuelle eacutetablie dans le cadre de la feacutedeacuteration Plus preacuteciseacutement eacutetant deacutejagrave authen-
tifieacute aupregraves du meacutecanisme drsquoauthentification de la communauteacute lrsquoidentiteacute de lrsquoacteur sera approuveacutee
aupregraves du meacutecanisme drsquoauthentification de lrsquoentreprise proprieacutetaire par le service LemonLDAP de la
communauteacute Techniquement lrsquoapprobation se fait au moyen de la communication drsquoun jeton 53 drsquoau-
thentification de la part de LemonLDAP de la communauteacute au meacutecanisme drsquoauthentification choisi
par lrsquoentreprise 54 Cette conception est tregraves avantageuse car elle permet drsquoun cocircteacute drsquoeacuteviter deacutejagrave de
nombreuses proceacutedures drsquoauthentification vis-agrave-vis de chaque entreprise appartenant agrave la commu-
nauteacute et drsquoun autre cocircteacute elle permet eacutegalement de reacutesoudre le problegraveme drsquointeropeacuterabiliteacute entre les
diffeacuterents meacutecanismes drsquoauthentification des entreprises partenaires
Pour reacutesumer comme illustreacute dans la figure Fig 49 55 le gestionnaire drsquoauthentification drsquoune
communauteacute veacuterifie lrsquoidentiteacute drsquoun acteur donneacute en interrogeant le gestionnaire drsquoidentiteacute de son
entreprise au moyen des Credentials drsquoidentiteacute fournis par le sujet de lrsquoauthentification Une fois
authentifieacute lrsquoidentiteacute de lrsquoacteur sera approuveacutee aupregraves de toutes les entreprises appartenant agrave la
communauteacute (feacutedeacuteration) par le gestionnaire drsquoidentiteacute de la communauteacute au moyen drsquoun eacutechange
de jetons compatibles (ie LemonLDAP)
LemonLDAP-NG ne vise pas agrave remplacer le meacutecanisme de base de gestion drsquoidentiteacute de lrsquoentreprise
Il sert plutocirct agrave offrir une ouverture agrave plus de diversiteacute et une flexibiliteacute concernant lrsquoutilisation de
meacutecanismes drsquoauthentification (eacuteventuellement incompatibles) entre les entreprises collaboratives
53 Le jeton prend la forme drsquoun cookie54 Sur la base des diffeacuterents protocoles drsquoauthentification proposeacutes par LemonLDAP55 Les numeacuteros 123 montre lrsquoordre des eacutetapes du processus
92
43 Conclusion
1
CommunauteacuteFeacutedeacuteration
Fournisseur didentiteacuteLemonLDAPNG
Fournisseur de serviceLemonLDAPNG
Entreprise
Acteur
Universiteacute
Fournisseur de serviceLemonLDAPNG
23
FIGURE 49 ndash Authentification feacutedeacutereacutee
43 Conclusion
En reacutesumeacute nous avons proposeacute une conception drsquoun modegravele de collaboration (sous forme de
communauteacute) baseacute sur une architecture de plateforme hybride ie un compromis entre une archi-
tecture centraliseacutee et deacutecentraliseacutee Cette architecture nous a permis de reacutepondre aux principaux
besoins drsquoun reacuteseau social drsquoentreprise agrave savoir lrsquointeropeacuterabiliteacute la seacutecurisation de donneacutees et le
passage agrave lrsquoeacutechelle
Concernant la gestion des ressources nous avons proposeacute que ces derniegraveres restent heacutebergeacutees au
niveau des serveurs des entreprises et que le partage (deacuteploiement) passe drsquoabord par une phase de
virtualisation Agrave propos de la gestion des identiteacutes numeacuteriques notre solution est fondeacutee sur deux
notions drsquoidentifiant agrave savoir identifiant interne et identifiant externe Le dernier est geacuteneacutereacute sur la
base du premier et utiliseacute au niveau des communauteacutes de collaboration en tant que reacutefeacuterence drsquoat-
tributs identitaire de lrsquoacteur en question Quant agrave lrsquoidentifiant interne il est unique et proteacutegeacute par
lrsquoentreprise de lrsquoacteur en question Le couple de ces identifiants permet une authentification feacutedeacute-
reacutee baseacutee sur une extension de configuration Credential-based et lrsquooutil LemonLDAP-NG Ce dernier
permet par ailleurs de geacuterer lrsquointeropeacuterabiliteacute entre les diffeacuterents meacutecanismes de gestion drsquoauthenti-
fication utiliseacutes par les entreprises au sein de la feacutedeacuteration de collaboration
Lrsquoauthenticiteacute des attributs identitaires des acteurs est assureacutee gracircce agrave la confiance mutuelle qui
lie les entreprises dans le cadre drsquoune feacutedeacuteration Malgreacute cela dans un contexte large et ouvert agrave
grande eacutechelle agrave plusieurs entreprises il existe toujours un risque de faire confiance agrave toutes les
entreprises Pour cela il est neacutecessaire de cloisonner les cercles collaboratifs entre entreprises mecircme
au sein drsquoune mecircme communauteacute Cela justifie davantage la raison pour laquelle nous ne pouvons
93
Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques
pas nous fier uniquement agrave lrsquoauthentification et met par ailleurs en eacutevidence le besoin drsquoune phase de
controcircle drsquoaccegraves aux ressources collaboratives Dans le chapitre suivant nous aborderons ce controcircle
drsquoaccegraves dans les communauteacutes du RSE OpenPaaS agrave travers nos contributions sur cet aspect
94
Chapitre 5
Controcircle drsquoaccegraves
Sommaire
51 Introduction 93
52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves 93
521 Attribute Based Access Control 94
522 Vision drsquoarchitecture 95
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves 96
531 Modeacutelisation des regravegles de controcircle drsquoaccegraves 97
532 Modeacutelisation de politiques de controcircle drsquoaccegraves 100
533 PolicySet 104
534 Synthegravese 107
54 Deacuteleacutegation 107
541 Preacutesentation formelle de deacuteleacutegation 108
542 Deacuteleacutegation externe 111
543 Application des modegraveles sur lrsquoexemple de motivation 111
55 Conclusion 112
51 Introduction
Ayant preacutesenteacute la premiegravere partie concernant lrsquoarchitecture de collaboration ainsi que la gestion
des ressources et identiteacutes numeacuteriques nous aborderons dans ce chapitre la gestion du controcircle
drsquoaccegraves aux ressources partageacutees au sein des communauteacutes de collaboration OpenPaaS RSE
52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves
Avant toute chose nous tenons agrave rappeler briegravevement les principaux besoins et problegravemes lieacutes
agrave la gestion des autorisations dans les communauteacutes OpenPaaS RSE Drsquoabord nous avons le par-
tage user-centric (cf section Controcircle drsquoaccegraves chapitre Probleacutematique et motivations) auquel
95
Chapitre 5 Controcircle drsquoaccegraves
est associeacutee la probleacutematique de la veacuterification automatique de la consistance et la coheacuterence des
politiques de controcircle drsquoaccegraves Cela nous oriente vers un choix de langage formel de politiques Le
partage user-centric donne aux acteurs le pouvoir de deacutefinir des permissions sur des ressources ap-
partenant agrave leurs entreprises Ainsi il faut que les entreprises aient leur autonomie pour garder le
controcircle sur leurs ressources partageacutees Par ailleurs le modegravele de regravegles neacutecessite une grande flexi-
biliteacute dans un environnement heacuteteacuterogegravene tel que le RSE car les attributs identitaires par rapport
auxquels les politiques sont deacutefinis (le rocircle par exemple) peuvent ecirctre heacuteteacuterogegravenes et parfois avec
une seacutemantique non-symeacutetrique entre deux ou plusieurs entreprise En outre nous avons eacutegalement
souligneacute lrsquoimportance drsquoavoir la possibiliteacute de deacutefinir des autorisations neacutegatives (interdiction) pour
permettre agrave un proprieacutetaire drsquoune ressource partageacutee (acteurentreprise) de srsquoopposer (suspendre)
agrave une autorisation drsquoaccegraves agrave la ressource en question Ceci implique en outre la neacutecessiteacute drsquoenvisager
des strateacutegies de combinaison entre des regravegles et des politiques Drsquoun autre cocircteacute nous avons preacutesenteacute
et mis en eacutevidence les avantages de la prise en compte du contexte qui est davantage fructueuse dans
le cas ougrave le contexte est exploiteacute drsquoune maniegravere dynamique et en temps reacuteel afin drsquoadapter le com-
portement du meacutecanisme de deacutecision Pour cela nous avons convenu qursquoil est plus judicieux drsquoopter
pour une approche eacuteveacutenementielle (ie baseacutee sur les eacuteveacutenements) Pour finir nous avons discuteacute la
possibiliteacute drsquoavoir des autorisations particuliegraveres comme la deacuteleacutegation qui consiste en une permis-
sion temporaire Par conseacutequent notre choix du langage de politique a eacuteteacute guideacute par la preacuteceacutedente
contrainte drsquoun formalisme ldquologiquerdquo ajouteacute au besoin drsquoinclure le temps pour la gestion des permis-
sions Notre choix srsquoest porteacute sur la logique temporelle Event-calculus qui est un langage formel baseacute
sur une logique de premier ordre et par ailleurs doteacute drsquoun raisonneur automatique ldquoDec-Reasonerrdquo
(cf section Vers une implantation formelle de XACML chapitre Eacutetat de lrsquoart) Le modegravele de controcircle
drsquoaccegraves que nous proposons dans le cadre de cette thegravese tient compte de lrsquointeacutegraliteacute de ces besoins
521 Attribute Based Access Control
Par rapport aux neacutecessiteacutes que nous avons releveacutees dans le contexte du RSE ABAC nous permet
de reacutepondre aux besoins suivants
mdash Flexibiliteacute du modegravele de regravegle car gracircce agrave ABAC nous avons la possibiliteacute de deacutefinir des
attributs suppleacutementaires et les combiner sous la mecircme regravegle eg le grade les compeacutetences
lrsquoadresse IP la reacuteputation le type de terminal etc
mdash Possibiliteacute de deacutefinir des interdictions par le biais de lrsquoajout de lrsquoattribut type qui prend
comme valeur ldquoPermitrdquo pour une regravegle drsquoautorisation ou ldquoDenyrdquo pour une regravegle drsquointerdiction
mdash Autonomie des entreprises puisqursquoelles peuvent deacutefinir des contraintes suppleacutementaires
voire mecircme des regraveglespolitiques entiegraveres compleacutementaires agrave celles deacutefinies par les acteurs
mdash Consideacuteration du contexte gracircce agrave la flexibiliteacute des regravegles par rapport aux attributs uti-
liseacutes pour leurs deacutefinitions entre autres le temps ce qui permet eacutegalement de deacutefinir des
permissions eacutepheacutemegraveres ie deacuteleacutegation
Un de nos objectifs en matiegravere de controcircle drsquoaccegraves dans OpenPaaS RSE est la possibiliteacute de deacute-
finir des autorisations temporaires Par conseacutequent nous avons fait le choix drsquoimplanter le modegravele
96
52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves
ABAC gracircce agrave un langage formel qui inclut la gestion du temps agrave savoir la logique Event-calculus
Dans la section suivante nous preacutesentons notre formalisme du modegravele de controcircle drsquoaccegraves baseacute sur
Event-calculus Cependant afin drsquoeacutelucider le deacuteroulement du processus du controcircle drsquoaccegraves nous
preacutesenterons drsquoabord lrsquoarchitecture de controcircle drsquoaccegraves inspireacutee de XACML
522 Vision drsquoarchitecture
Notre vision du RSE est principalement fondeacutee sur le concept de communauteacute La figure 51
montre lrsquoarchitecture de notre framework de controcircle drsquoaccegraves dans chaque communauteacute du RSE
Cette architecture est inspireacutee de lrsquoarchitecture basique de XACML (cf chapitre Eacutetat de lrsquoart) Neacutean-
moins nous lrsquoavons eacutetendu (par rapport agrave nos besoin OpenPaaS) avec un autre module de gestion
de la confiance
1 Community Enforcement Service (CES) ce composant est lrsquointerface entre lrsquoacteur et le
systegraveme de controcircle drsquoaccegraves de la communauteacute Il sert en outre de pont entre le reste des
composants du framework
2 Community Information Store (CIS) la base drsquoinformation de la communauteacute ougrave les attri-
buts des ressources acteurs et les organisations sont enregistreacutees
3 Community Administration Store (CAdS) la base principale dans laquelle sont ajouteacutees
administreacutees et stockeacutees les politiques et regravegles de controcircle drsquoaccegraves de la communauteacute
4 Community Decision Service (CDS) ce module est responsable de la prise de deacutecision
finale vis-agrave-vis de toute requecircte reccedilue Plus preacuteciseacutement agrave la reacuteception drsquoune requecircte le CDS
recherche les politiques et regravegles du CAdS correspondantes au sujet geacutenegravere par la suite les
patrons Event-calculus et enfin met en application les politiques vis-agrave-vis de la requecircte en
question au moyen du raisonneur Dec-Reasoner
5 Community Trust Service (CTS) ce service gegravere la reacuteputation et la confiance numeacuterique
des acteurs de la communauteacute Pour eacutevaluer et mettre agrave jour la reacuteputation drsquoun acteur donneacute
le CTS interagit drsquoun cocircteacute avec le CES pour reacutecupeacuterer les informations de session courante de
lrsquoacteur en question et de lrsquoautre cocircteacute interagit avec le CIS pour reacutecupeacuterer les traces drsquointer-
actions historiques de lrsquoacteur
Les diffeacuterentes eacutetapes illustreacutees dans la figure 51 peuvent ecirctre diviseacutees en deux processus paral-
legraveles et compleacutementaires agrave savoir le processus principal de controcircle drsquoaccegraves (Bloc A) et un processus
compleacutementaire drsquoeacutevaluation de la confiance numeacuterique (Bloc B)
Trois modules sont impliqueacutes dans le processus drsquoeacutevaluation de la confiance agrave savoir le CES le
CTS et le CIS Le module principal dans ce processus est bien le CTS Ce dernier interagit en premier
lieu (eacutetape 1) avec le CES pour reacutecupeacuterer les informations sur le comportement de lrsquoacteur pendant
sa session courante Ensuite (eacutetape 2) il reacutecupegravere des informations sur lrsquohistorique drsquoeacutevaluation de
la confiance de lrsquoacteur en guise de paramegravetres pour la proceacutedure drsquoeacutevaluation de la confiance et la
reacuteputation courante du mecircme acteur
97
Chapitre 5 Controcircle drsquoaccegraves
CIS
CTSCDS
CAdS politiques
CES
2
13
Gestion regravegles et politiques Service-Web
Raisoneur logique
Acteur
Acteur (Demandeur daccegraves)
acteurs
ressources
regravegles
Entreprise
1
2
Bloc A (Controcircle daccegraves)
Bloc B (Gestion de confiance)
3
FIGURE 51 ndash Architecture globale du frame-work de controcircle drsquoaccegraves OpenPaaS
Parallegravelement le processus du controcircle drsquoaccegraves inclut quatre modules du framework agrave savoir
CES CIS CDS et CAdS Le CAdS est le conteneur des politiques de seacutecuriteacute le noyau autour duquel
tout le framework est fondeacute Il srsquoagit drsquoune base de donneacutees administreacutee par les entreprises ainsi que
les acteurs agrave travers lrsquoinsertion la modification et la suppression de regravegles et politiques de controcircle
drsquoaccegraves Le composant principal dans le processus de prise de deacutecision est le CDS Afin qursquoil puisse
prendre une deacutecision drsquoautorisation drsquoaccegraves (Eacutetape 3) le CDS interagit directement avec le CAdS
(eacutetape 3rsquo) pour reacutecupeacuterer les regravegles et politiques par rapport aux attributs drsquoune requecircte reccedilue qui
lui sont transmis par le CES Le CES peut reacutecupeacuterer des meacutetadonneacutees (contextuelles par exemple)
sur le sujet lrsquoobjet et la requecircte avant de les transmettre au CDS (eacutetape 2) Une fois la deacutecision
prise par le CDS et transmise au CES ce dernier se charge de notifier lrsquoacteur de la deacutecision en lui
autorisant ou refusant lrsquoaccegraves agrave la ressource demandeacutee
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
Dans cette partie nous preacutesenterons en deacutetail tous les composants de notre modeacutelisation du
controcircle drsquoaccegraves dans les communauteacutes OpenPaaS et ce agrave travers les diffeacuterents patrons Event-calculus
que nous avons proposeacutes
98
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
531 Modeacutelisation des regravegles de controcircle drsquoaccegraves
Dans notre modegravele la regravegle est le noyau de toutes politiques de controcircle drsquoaccegraves Suivant le mo-
degravele ABAC une regravegle est geacuteneacuteralement composeacutee de Cible (Target) Condition et Type Le reacutesultat de
lrsquoexeacutecution drsquoune regravegle est appeleacute Effet qui prend la valeur Permit (autoriseacute) ou Deny (non-autoriseacute)
5311 Cible
La cible drsquoune regravegle speacutecifie les attributs utiliseacutes pour veacuterifier si la regravegle en question correspond
agrave une requecircte donneacutee Nous proposons une speacutecification geacuteneacuterique de la cible drsquoune regravegle en forma-
tant les attributs inclus sous forme de paire nom-valeur Ce choix nous permet drsquoavoir une grande
flexibiliteacute dans la deacutefinition des regravegles Par exemple comme attribut de cible on peut avoir Nom
Ressource Valeur DocumentA Dans notre modeacutelisation la conception de la cible drsquoune regravegle inclut
la ressource deacutesireacutee le sujet consommateur et lrsquoaction demandeacutee par le sujet sur la ressource Il est
eacutegalement possible drsquooffrir une repreacutesentation abstraite des composants de la cible Par exemple
lrsquoattribut ldquorocircleeacutequipeorganisationrdquo au lieu de lrsquoattribut Sujet lrsquoattribut ldquoVuerdquo [111] agrave la place de
ldquoressourcerdquo etc Par ailleurs une requecircte est principalement composeacutee des attributs suivants sujet
objet et action Nous preacutesenterons en premier lieu notre modegravele de veacuterification de la cible drsquoune regravegle
par rapport agrave une requecircte (Model1)
sort r atname atvaluepredicate AtHasValue (atname atvalue) (1)event Match(r) Mismatch(r)fluent RuleTargetHolds(r)
forall r time Initiates (Match(r) RuleTargetHolds(r) time) (2)forall r time Terminates (Mismatch(r) RuleTargetHolds(r) time) (3)
forall r not HoldsAt(RuleTargetHolds(r)0) (4)
Modegravele 1 (Modeacutelisation de la partie Target drsquoune regravegle)
Le modegravele 1 illustre un patron geacuteneacuterique de modeacutelisation de la cible drsquoune regravegle Dans ce mo-
degravele nous avons drsquoabord deacutefini quelques variables agrave savoir r atname et atvalue La variable r est
utiliseacutee pour repreacutesenter les regravegles Les variables atname et atvalue sont utiliseacutees pour repreacutesenter
respectivement le nom drsquoun attribut et sa valeur Ensuite nous avons deacutefini le preacutedicat (1) AtHas-
Value qui permet de speacutecifier les attributs de la cible En outre nous avons deacutefini les eacuteveacutenements
Match et Mismatch et leur effet RuleTargetHolds Pour geacuterer les eacuteveacutenements nous avons deacutefini le preacute-
dicat (2) (Initiate) pour lrsquoactivation et le preacutedicat (3) (Terminates) pour la deacutesactivation Le fluent
RuleTargetHolds sera utiliseacute comme eacutetant le but rechercheacute qui nrsquoest pas atteint par deacutefaut gracircce au
preacutedicat (4) (ie initialisation agrave lrsquoinstant 0 agrave faux) En effet lrsquoeacuteveacutenement Match se produit quand la
cible drsquoune instance de regravegle correspond aux valeurs drsquoattributs de la requecircte en question
99
Chapitre 5 Controcircle drsquoaccegraves
5312 Effet et condition
Une fois la cible veacuterifieacutee la regravegle peut ecirctre eacutevalueacutee agrave base des conditions et du type Le type de la
regravegle est un attribut indiquant srsquoil srsquoagit drsquoune Permission ou drsquoune Interdiction Quant aux conditions
gracircce agrave notre choix drsquoun modegravele ABAC et au formalisme Event-calculus nous avons la possibiliteacute de
consideacuterer plusieurs types de contraintes fonctionnelles et non fonctionnelles Cependant nous avons
geacuteneacuteraliseacute la modeacutelisation des contraintes sous le volet de la gestion du contexte Cela nous permet
de deacutefinir des politiques au niveau des entreprises davantage abstraites que celles deacutefinies au niveau
des acteurs Plus de deacutetails sur lrsquoaspect de contraintes contextuelles seront preacutesenteacutes dans le chapitre
Gestion du risque
5313 Modegravele de regravegle
Dans le modegravele 2 nous preacutesentons le patron geacuteneacuterique de modeacutelisation de regravegles Afin de veacuterifier
si une instance de regravegle srsquoapplique sur la requecircte le modegravele de regravegle se base sur la validation de
la cible Pour cela le modegravele 1 est reacuteutiliseacute Si aucune cible de regravegle ne srsquoapplique agrave la requecircte
le reacutesultat obtenu agrave partir du modegravele de regravegle sera Not-Applicable Sinon la regravegle autorise lrsquoaccegraves
(RulePermitted) ou le refuse (RuleDenied)
sort r sfluent [RulePermittedRuleDeniedRuleNotApplicable](r)event [ApproveRuleDisApproveRuleRejectRule](r)
forall r time Initiates (ApproveRule(r) RulePermitted(r) time)forall r time Initiates (DisApproveRule(r) RuleDenied(r) time)forall r time Initiates (RejectRule(r) RuleNotApplicable(r) time)
forall r time s Happens (ApproveRule(r)time)rarrHoldsAt (TargetHolds(r)time) and HoldsAt (ContextHolds(s)time) andHoldsAt (RuleTypePermission(r)time) (1)
forall r time s Happens (DisApproveRule(r)time)rarrHoldsAt(TargetHolds(r)time) and [not HoldsAt(ContextHolds(s)time) ornot HoldsAt(RuleTypeProhibition(r)time)] (2)
forall r time Happens (RejectRule(r)time)rarr HoldsAt (TargetDoesntHold(r)time)forall r not HoldsAt (RulePermitted(r)0) (3)forall r not HoldsAt (RuleDenied(r)0) 3forall r not HoldsAt (RuleNotApplicable(r)0) 3
Modegravele 2 (Modegravele de regravegle de controcircle drsquoaccegraves)
Dans ce dernier patron nous avons deacutefini une variable s qui repreacutesente le sujet de la regravegle Les
principaux fluents sont utiliseacutes pour indiquer si lrsquoeffet de la regravegle sera Permit Deny ou Not-Applicable
Les eacuteveacutenements de controcircle des eacutetats des fluents sont ApproveRule DisApprouveRule et RuleDoesNo-
tApply pour signifier respectivement la que requecircte est approuveacutee rejeteacutee ou la regravegle nrsquoest mecircme pas
applicable sur les attributs de la requecircte Pour cela nous nous sommes baseacutes sur le preacutedicat Initiate
pour geacuterer ces trois eacuteveacutenements
100
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
Lrsquoaxiome (1) controcircle lrsquooccurrence de lrsquoeacuteveacutenement ApproveRule agrave travers plusieurs conditions
En premier lieu la cible de lrsquoinstance de la regravegle en question doit correspondre aux attributs de la
requecircte reccedilue Ensuite le contexte au moment de la reacuteception de la requecircte ne doit pas preacutesenter des
exceptions de seacutecuriteacute Cet aspect sera deacutetailleacute plus tard dans le cadre des regravegles entreprise (modegravele
11) Cependant afin que la gestion des regravegles reste simple pour des utilisateurs non expeacuterimenteacutes le
contexte est ignoreacute dans le cadre des regravegles deacutefinies par les acteurs et consideacutereacute comme eacutetant valideacute
pour toutes les requecirctes Enfin le type de la regravegle doit ecirctre une permission et non une interdiction Ces
trois derniegraveres conditions satisfaites lrsquoeacuteveacutenement (ApproveRule) peut ainsi se produire et changer par
conseacutequent lrsquoeacutetat du fluent RuleIsPermitted autorisant par la suite le sujet de la requecircte en question
Toujours avec des opeacuterateurs logiques lrsquoaxiome (2) reacutealise le processus inverse pour veacuterifier si la
requecircte reccedilue doit ecirctre rejeteacutee Enfin les preacutedicats (3) initialisent touts les effets de toutes regravegles agrave
faux
5314 Instance et eacutevaluation de regravegle
Le modegravele 3 illustre un exemple drsquoinstance drsquoune regravegle particuliegravere agrave savoir la regravegle ldquoRuleJamesrdquo
mettant en eacutevidence les valeurs des attributs de la cible
fluent RuleTypePermission(r)fluent RuleTypeProhibition(r)r RuleJamesatname Subject Object Action
forall r time Happens(Match(r) time) and AtHasValue(Subject atvalue1) andAtHasValue(Object atvalue2) and AtHasValue(Action atvalue3)rarratvalue1 = James and atvalue2 = CV_Jessypdf and atvalue3 = Read (1)
forall r time Happens(Mismatch(r) time) and AtHasValue(Subject atvalue1) andAtHasValue(Object atvalue2) and AtHasValue(Action atvalue3)rarratvalue1 6= James and atvalue2 6= CV_Jessypdf and atvalue3 6= Read (2)
HoldsAt(RuleTypePermission(RuleBob)0) (3)not HoldsAt(RuleTypeProhibition(RuleBob)0) 3
Modegravele 3 (Instance de regravegle)
La regravegle RuleJames est deacutefinie par Jessy en vue du partage de son CV en lecture avec James Les
attributs de cette regravegle sont Subject= James Object=CV_Jessypdf Action=Read Ainsi si le sujet James
eacutetablit une requecircte de demande de lecture agrave la ressource CV_Jessypdf la cible sera valideacutee (axiome
(1)) sinon cette regravegle ne sera pas applicable sur la requecircte de James (axiome 2) Les preacutedicats (3)
servent agrave deacutefinir le type de la regravegle en lrsquooccurrence permission pour RuleJames
Les objectifs (du raisonnement par abduction) sont illustreacutes dans le modegravele 4 Ces objectifs
concernent en premier lieu la veacuterification de la cible (1) ensuite la veacuterification de lrsquoeffet de regravegle ie
PermitDeny (2)
Les reacutesultats du raisonnement sur lrsquoinstance de regravegle RuleJames sont illustreacutes dans Solution 1
et Solution 2 La Solution 1 montre la veacuterification de la cible tandis que la Solution 2 montre le
101
Chapitre 5 Controcircle drsquoaccegraves
reacutesultat complet du raisonnement sur la requecircte par rapport agrave la regravegle
forall r HoldsAt(RuleTargetHolds(r) 1) or not HoldsAt(RuleTargetHolds(r) 1) (1)forall r HoldsAt(RuleIsPermitted(r) 2) or HoldsAt(RuleIsDenied(r) 2) or Hold-sAt(RuleIsNotApplicable(r) 2) (2)
Modegravele 4 (Objectifs)
Les reacutesultats du raisonnement sur la partie de veacuterification de la cible par le raisonneur Dec-
Reasoner sont illustreacutes dans Solution1
t0
Happens(Match(RuleJames) 0)t1
+RuleTargetHolds(RuleJames)
Solution 1 (Eacutevaluation de la Target drsquoune regravegle par Dec-Reasoner)
La solution 1 montre qursquoagrave lrsquoinstant t1 le fluent indiquant la correspondance de la requecircte avec la
cible de la regravegle RuleJames est valideacute Cette correspondance a eacuteteacute veacuterifieacutee agrave lrsquoinstant t0 (par rapport
aux preacutedicats (1) et (2) du modegravele 3) provoquant lrsquooccurrence de lrsquoeacuteveacutenement Match pour lrsquoinstance
RuleJames
La solution 2 montre que agrave partir de lrsquoinstant t1 les fluents relatifs au contexte et la cible sont
deacutejagrave veacuterifieacutes et que le type de la regravegle est une permission Ainsi lrsquoeacuteveacutenement ApproveRule peut se
produire et changer lrsquoeacutetat du fluent RuleIsPermitted agrave Vrai apregraves qursquoil a eacuteteacute initialiseacute agrave Faux agrave lrsquoinstant
t0 (modegravele 2 raquo preacutedicat (3)) Dans le cas ougrave lrsquoun des fluents deacutefini dans lrsquoaxiome de controcircle de
lrsquoeacuteveacutenement de la regravegle nrsquoest pas valideacute alors crsquoest le fluent RuleIsDenied qui change drsquoeacutetat agrave Vrai
(modegravele 3 raquo preacutedicat (2)) Autrement dans le cas ougrave crsquoest la cible qui ne correspond pas le reacutesultat
de retour sera RuleNotApplicable ie la conseacutequence de lrsquoeacuteveacutenement RejectRule dans le modegravele 2
t0
+ ContextHolds(James)RuleTypePermission(RuleJames)t1
+ TargetHolds(RuleJames)Happens(ApproveRule(RuleJames) 0)t2
+ RulePermitted(RuleJames)
Solution 2 (Reacutesultats drsquoeacutevaluation de regravegle par Dec-Reasoner)
532 Modeacutelisation de politiques de controcircle drsquoaccegraves
Une politique est un ensemble de regravegles Cela signifie que le modegravele de gestion de politique est
principalement baseacute sur des strateacutegies de combinaison de regravegles Sachant qursquoune regravegle peut avoir
comme effet Permit Deny ou Not-applicable le modegravele de politiques doit pouvoir prendre une deacuteci-
sion vis-agrave-vis drsquoune requecircte sur la base des effets des regravegles qui composent la politique en question
Ainsi comme une regravegle lrsquoeffet drsquoune politique prend comme valeurs Deny Permit ou NotApplicable
102
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
Les strateacutegies de combinaison que nous avons utiliseacutees dans nos modegraveles de controcircle drsquoaccegraves
sont Deny-takes-precedence Permit-takes-precedence All-Deny All-Permit All-NotApplicable Cepen-
dant ces strateacutegies doivent ecirctre utiliseacutees selon une certaine discipline Par conseacutequent afin de former
une politique nous avons proceacutedeacute avec deux types de regroupement de regravegles lrsquoun baseacute sur tous les
attributs de la cible drsquoune requecircte et lrsquoautre baseacute uniquement sur le sujet de cette derniegravere
5321 Patron de politiques baseacutees sur la cible
La premiegravere meacutethode de deacutefinition drsquoune politique est de faire un regroupement de regravegles en se
basant sur la mecircme cible contenue dans la requecircte reccedilue agrave savoir le sujet lrsquoobjet et lrsquoaction Par
conseacutequent la politique contient uniquement des regravegles qui sont applicables sur la requecircte reccedilue
Cette meacutethode de regroupement par cible est utiliseacutee dans le cas ougrave une ressource appartient agrave
au moins deux ou plusieurs entiteacutes collaboratrices Il suffit qursquoune seule entiteacute revendique lrsquoaccegraves
agrave la ressource pour que la requecircte soit rejeteacutee Cependant si tous les proprieacutetaires de la ressource
sont drsquoaccord pour accorder lrsquoaccegraves la requecircte sera autoriseacutee Par conseacutequent dans cette meacutethode
de formation de politique nous opeacuterons les strateacutegies de combinaison All-permit et Deny-takes-
precedence
Le patron geacuteneacuterique de politiques baseacutees sur la cible est illustreacute dans le modegravele 5 dans lequel
les politiques sont reacutefeacuterenceacutees par la variable p Les strateacutegies de combinaison sont deacutefinies agrave travers
les axiomes (1) pour Deny-takes-precedence et (2) pour All-permit Dans lrsquoaxiome (1) pour chaque
politique p regravegle r et instant t il suffit qursquoune seule regravegle appartenant agrave la politique soit agrave effet Deny
pour que lrsquoeacuteveacutenement DisApprovePolicy se produise agrave lrsquoeacutegard de cette politique provoquant ainsi un
effet Deny pour la politique agrave travers le fluent PolicyDenied Inversement lrsquoaxiome (1) veacuterifie que
toutes les regravegles drsquoune politique autorisent lrsquoaccegraves agrave la ressource demandeacutee ie effet Permit
sort p rfluent PolicyPermitted(p) fluent PolicyDenied(p) fluent PolicyNotApplicable(p)event ApprovePolicy(p) event DisApprovePolicy(p) event RejectPolicy(p)predicate PolicyHasRules(pr)
forall p time Initiates (ApprovePolicy(p) PolicyPermitted(p) time)forall p time Initiates (DisApprovePolicy(p) PolicyDenied(p) time)forall p time Initiates (RejectPolicy(p) PolicyNotApplicable(p) time)
Combination strategy Deny-takes-precedenceforall p r time Happens(DisApprovePolicy(p)time) rarr exist r PolicyHasRules(pr) and Hold-sAt(RuleDenied(r)time) (1)
Combination strategy All-permitforall p r time Happens(ApprovePolicy(p)time) and PolicyHasRules(pr) rarr Hold-sAt(RulePermitted(r)time) (2)
forall p not HoldsAt (PolicyPermitted(p)0)forall p not HoldsAt (PolicyDenied(p)0)
Modegravele 5 (Modegravele de politique regroupement par cible)
103
Chapitre 5 Controcircle drsquoaccegraves
5322 Patron de politiques baseacutees sur le sujet
Dans cette meacutethode les politiques sont formeacutees agrave base des regravegles concernant le mecircme sujet agrave
savoir le sujet de la requecircte reccedilue Par conseacutequent on peut trouver dans la politique des regravegles qui
ne sont pas applicables sur la requecircte en question Cette maniegravere de deacutefinir des politiques consiste
agrave trouver au moins une regravegle dans lrsquoensemble permettant drsquoaccreacutediter ou non le sujet en question
Cette meacutethode se base sur lrsquohypothegravese qursquoil ne peut pas y avoir deux regravegles avec les mecircmes cibles et
de types diffeacuterents En revanche si aucune regravegle nrsquoest applicable sur la ressource en question avec
lrsquoaction deacutesireacutee lrsquoeffet de la politique sera Not-Applicable Par conseacutequent nous proceacutedons au moyen
des strateacutegies (permitdeny)-takes-precedence avec All-NotApplicable Ces strateacutegies de combinaison
sont ainsi choisies pour ce genre de politiques afin drsquoeacuteviter les eacuteventuels conflits de combinaison
En effet si les strateacutegies Deny-overrides All-permit avec All-NotApplicable sont utiliseacutees ensemble
on aura une incoheacuterence dans le cas ougrave une regravegle qui satisfait la cible est permise et que dans la
politique il existe certaines regravegles qui ne sont pas applicables
La modeacutelisation de ce type de politiques baseacutees sur le sujet est illustreacutee dans le modegravele 6 Les
strateacutegies Deny-takes-precedence et Permit-takes-precedence sont mises en place respectivement agrave tra-
vers les axiomes (1) et (2) de preacuteconditions de lrsquoeacuteveacutenement DisApprovePolicy et ApprovePolicy Quant
agrave lrsquoaxiome (3) il veacuterifie si toutes les regravegles de la politique ne srsquoappliquent pas agrave la cible de la requecircte
reccedilue afin drsquoignorer la politique en rendant lrsquoeffet PolicyNot-applicable
sort p rfluent PolicyPermitted(p) fluent PolicyDenied(p) fluent PolicyNotApplicable(p)event ApprovePolicy(p) event DisApprovePolicy(p) event RejectPolicy(p)predicate PolicyHasRules(pr)
forall p time Initiates (ApprovePolicy(p) PolicyPermitted(p) time)forall p time Initiates (DisApprovePolicy(p) PolicyDenied(p) time)forall p time Initiates (RejectPolicy(p) PolicyNotApplicable(p) time)
Combination strategy Deny-takes-precedence forall p r time Happens(DisApprovePolicy(p) time) rarr exist r PolicyHasRules(pr) and Hold-sAt(RuleDenied(r) time) (1)
Combination strategy Permit-takes-precedence forall p r time Happens(ApprovePolicy(p) time)rarrexist r PolicyHasRules(pr) and HoldsAt(RulePermitted(r)t) (2)
Combination strategy All-NotApplicable forall p r time Happens(RejectPolicy(p) time) and PolicyHasRules(pr) rarr Hold-sAt(RuleNotApplicable(r) time) (3)forall p not HoldsAt(PolicyPermitted(p)0)forall p not HoldsAt(PolicyDenied(p)0)forall p not HoldsAt (PolicyNotApplicable(p)0)
Modegravele 6 (Modegravele de politique regroupement par sujet)
Agrave la fin des deux modegraveles de politiques nous initialisons les fluents correspondant aux diffeacuterents
effets de la politique agrave savoir Permited Denied ou NotApplicable
104
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
5323 Instance et eacutevaluation de politique
Pour deacutefinir une instance de politique nous avons utiliseacute le preacutedicat PolicyHasRule qui speacutecifie
quelles regravegles rentrent sous la sphegravere de quelle politique Ainsi nous avons deacutefini (conformeacutement
agrave lrsquoexemple de motivation) la politique concernant la candidature de Jessy qui doit envoyer son CV
agrave James pour lecture Nous avons appeleacute cette politique JessyApplication Nous avons conccedilu cette
politique avec les deux meacutethodes de combinaison agrave savoir cible et sujet Le modegravele 7 montre une
instance de politique baseacutee sur des regravegles ayant la mecircme cible (SujetObjetAction) que la requecircte
reccedilue agrave savoir JamesCV_JessypdfRead
policy JessyApplication
PolicyHasRule(JessyApplication RuleJessy)PolicyHasRule(JessyApplication RuleBob)PolicyHasRule(JessyApplication RuleAlice)
Modegravele 7 (Policy (Target) specification)
Cette politique est composeacutee de trois regravegles RuleJessy RuleBob RuleAlice qui sont deacutefinies res-
pectivement par Jessy Bob et Alice Dans leurs regravegles Jessy et Alice autorisent James agrave lire le CV
de Jessy ie les deux regravegles sont de types Permission Cependant Bob lrsquoencadrant de Jessy reven-
dique lrsquoaccegraves (pour une raison donneacutee) via sa regravegle qui est de type Interdiction Quand on invoque le
raisonneur pour ce patron il donne les reacutesultats qui apparaissent dans la solution 3
t0
Happens(ApproveRule(RuleJessy) 0)Happens(ApproveRule(RuleAlice) 0)Happens(DisApproveRule(RuleBob) 0)t1
+ RulePermitted(RuleJessy)+ RulePermitted(RuleAlice)+ RuleDenied(RuleBob)Happens(DisApprovePolicy(JessyApplication) 1)t2
+ PolicyDenied(JessyApplication)
Solution 3 (Reacutesultats drsquoeacutevaluation de politique (Target) par Dec-Reasoner)
Le Modegravele 8 illustre une instance de politique baseacutee sur le mecircme sujet Dans lrsquoensemble des
regravegles qui composent cette politique seule la regravegle deacutefinie par Jessy srsquoapplique sur la requecircte reccedilue
et approuve par ailleurs cette demande drsquoaccegraves Le reacutesultat du Dec-Reasoner figure dans la solution 4
Il est agrave noter que dans la solution deacutecrite par le raisonneur Dec-Reasoner le signe moins (-) preacuteceacutedant
un fluent signifie sa valeur est faux le signe (+) signifie que la valeur du fluent est vrai
105
Chapitre 5 Controcircle drsquoaccegraves
policy JessyApplication
PolicyHasRule(JessyApplication RuleEve)PolicyHasRule(JessyApplication RuleWalter)PolicyHasRule(JessyApplication RuleNestor)PolicyHasRule(JessyApplication RuleJessy)PolicyHasRule(JessyApplication RuleMatilda)
Modegravele 8 (Policy (sujet) specification)
Le reacutesultat du raisonnement est le suivant
t0
Happens(Mismatch(RuleEve) 0)Happens(Mismatch(RuleWalter) 0)Happens(Mismatch(RuleNestor) 0)Happens(Match(RuleJessy) 0)Happens(Mismatch(RuleMatilda) 0)t1
- RuleTargetHolds(RuleEve)- RuleTargetHolds(RuleWalter)- RuleTargetHolds(RuleNestor)+ RuleTargetHolds(RuleJessy)- RuleTargetHolds(RuleMatilda)t2
Happens(RejectRule(RuleEve) 2)Happens(RejectRule(RuleWalter) 2)Happens(RejectRule(RuleNestor) 2)Happens(ApproveRule(RuleJessy) 2)Happens(RejectRule(RuleMatilda) 2)t3
+ RuleNotApplicable(RuleEve)+ RuleNotApplicable(RuleWalter)+ RuleNotApplicable(RuleNestor)+ RulePermitted(RuleJessy)+ RuleNotApplicable(RuleMatilda)t4
Happens(ApprovePolicy(JessyApplication) 4)t5
+ PolicyPermitted(JessyApplication)
Solution 4 (Reacutesultats drsquoeacutevaluation de politique (Sujet) par Dec-Reasoner)
533 PolicySet
Agrave partir de cette section nous appellerons les regravegles et politiques deacutefinies par les sujets regraveglepolitique
ldquode partagerdquo
Un policySet est un ensemble qui permet de regrouper plusieurs politiques En XACML le policySet
est consideacutereacute comme la racine de toute autorisation drsquoaccegraves Dans notre contexte RSE nous avons
exploiteacute le concept de policySet pour mettre en parallegravele les politiques de partage de ressources
et les politiques des entreprises Ainsi une entreprise garde le controcircle agrave travers ses politiques sur
106
53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves
les politiques de partage de ressources et ce au moyen de la combinaison de ces deux niveaux de
politiques
En effet les strateacutegies de combinaisons prennent en compte uniquement les effets (PermitDeny)
de politiques ce qui signifie que les politiques de partage et les politiques drsquoentreprises sont indeacute-
pendantes Cette indeacutependance permet aux entreprises drsquoavoir la possibiliteacute de deacutefinir des politiques
avec un niveau drsquoabstraction plus eacuteleveacute et geacuteneacuterique Cependant afin de pouvoir combiner des stra-
teacutegies de controcircle drsquoaccegraves les deux parties (entreprise sujet) doivent se mettre au mecircme niveau sur
la structure XACML Par exemple en respectant la structure XACML on ne peut pas combiner des
regravegles avec des politiques
Donc si lrsquoentreprise deacutecide drsquoavoir un niveau drsquoabstraction plus eacuteleveacute de sa strateacutegie de controcircle
drsquoaccegraves elle doit srsquoaligner avec les strateacutegies de controcircle drsquoaccegraves deacutefinies par les sujets au niveau des
politiques En effet agrave lrsquoimage drsquoune politique de partage une politique drsquoentreprise peut ecirctre com-
poseacutee de plusieurs regravegles En revanche afin de respecter lrsquoabstraction rechercheacutee dans les politiques
drsquoentreprise cette derniegravere ne peut pas ecirctre baseacutee sur la combinaison drsquoinstances de regravegles comme
celles deacutefinies par les sujets Une politique drsquoentreprise doit ecirctre deacutefinie sur la base de paramegravetres
plus geacuteneacuteriques qui ne se focalisent pas sur chaque instance de partage de ressources Cela permet
aux entreprises drsquoavoir une approche flexible de controcircle drsquoaccegraves
sort pS pfluent PolicySetPermitted(pS) PolicySetDenied(pS) PolicySetNotApplicable(pS)event ApprovePolicySet(pS) event DisApprovePolicySet(pS) event RejectPolicySet(pS)predicate PolicySetHasPolicy(pSp)
forall pS time Initiates (ApprovePolicySet(pS) PolicySetPermitted(pS) time)forall pS time Initiates (DisApprovePolicySet(pS) PolicySetDenied(pS) time)forall pS time Initiates (pejectPolicySet(pS) PolicySetNotApplicable(pS) time)
Combination strategy Deny-takes-precedenceforall pS p time Happens(DisApprovePolicySet(pS)time) rarr exist r PolicySetHasPolicy(pSp) andHoldsAt(PolicyDenied(p)time) (1)
forall pS p time Happens(ApprovePolicySet(pS)time) and PolicySetHasPolicy(pSp) rarr Hold-sAt(pulePermitted(p)time) (2)
forall p not HoldsAt (policySetPermitted(pS)0)forall p not HoldsAt (policySetDenied(pS)0)
Modegravele 9 (Modegravele de PolicySet)
Le modegravele 9 illustre le patron de modeacutelisation drsquoun policySet Comme crsquoest deacutecrit dans les preacute-
dicats (2) et (3) ce modegravele se base sur des strateacutegies de combinaison de politiques agrave savoir des
politiques de partage ainsi que des politiques drsquoentreprise
5331 Politique drsquoentreprise
Pour deacutefinir les politiques drsquoentreprises nous nous sommes baseacutes sur une approche drsquoeacutevaluation
du risque dont de plus amples deacutetails seront preacutesenteacutes dans le chapitre cf Eacutevaluation du risque
107
Chapitre 5 Controcircle drsquoaccegraves
Dans cette partie nous nous contentons uniquement de preacutesenter les patrons de veacuterification des
politiques drsquoentreprise baseacutees sur le risque Lrsquoideacutee principale du mode opeacuteratoire du controcircle drsquoaccegraves
de lrsquoentreprise via le meacutecanisme de lrsquoeacutevaluation du risque est baseacute sur la comparaison drsquoune valeur
de risque qui reacutesulte drsquoun ensemble de paramegravetres avec un seuil de toleacuterance de risque
Les paramegravetres sur lesquels est baseacutee la meacutetrique drsquoeacutevaluation du risque sont la confiance du
sujet de la requecircte la vulneacuterabiliteacute du contexte et lrsquoimpact drsquoun eacuteventuel accegraves non autoriseacute sur la
ressource en question La meacutetrique de calcul de la valeur du risque ainsi que le choix de paramegravetres
seront deacutetailleacutes dans le chapitre cf Eacutevaluation du risque Quant au seuil du risque crsquoest le paramegravetre
essentiel deacutefini par lrsquoentreprise pour veacuterifier si la menace refleacuteteacutee par une requecircte donneacutee approuveacutee
par une politique de partage existante peut ecirctre toleacutereacutee ou pas
Le modegravele 10 illustre la conception drsquoune politique drsquoentreprise ougrave ces nouveaux paramegravetres lieacutes
au risque sont inteacutegreacutes
sort s p userTrLevel orgTHRpredicate UserTrlevel(userTrLevel)predicate ResourceImpact(impact)predicate Vulnerability(vul)predicate OrganizationRiskThold(orgTHR)
fluent PolicyPermitted(p) PolicyDenied(p) ContextHolds(s)
event ApprovePolicy(p) DisApprovePolicy(p) RiskHolds(s) RiskDoesNotHold(s)
forall p time Initiates (ApprovePolicy(p) PolicyPermitted(p) time) (1)forall p time Initiates (DisApprovePolicy(p) PolicyDenied(p) time) (1rsquo)
forall s time Initiates (RiskHolds(s) ContextHolds(s) time) (2)forall s time Terminates (RiskDoesNotHold(s) ContextHolds(s) time) (2rsquo)
forall s time userTrLevel impact vul orgTHR Happens (RiskHolds(s)time) and User-Trlevel(userTrLevel) and ResourceImpact(impact) and Vulnerability(vul) and OrganizationRisk-Thold(orgTHR)rarr orgTHR ge ((1-userTrLevel)+vul+impact)3 (3)
forall s time userTrLevel impact vul orgTHR Happens (RiskDoesNotHold(s)time) and User-Trlevel(userTrLevel) and OrganizationRiskThold(orgTHR) and ResourceImpact(impact) and Vulnerabi-lity(vul)rarr orgTHR lt ((1-userTrLevel)+vul+impact)3 (4)
forall s p time Happens (ApprovePolicy(p)time)rarr HoldsAt(ContextHolds(s)time) (5)forall s p time Happens (DisApprovePolicy(p)time)rarrnot HoldsAt(ContextHolds(s)time) (5rsquo)
forall s not HoldsAt (PolicyPermitted(s)0)forall s not HoldsAt (PolicyDenied(s)0)forall s not HoldsAt (ContextHolds(s)0)
Modegravele 10 (Politique drsquoentreprise)
Dans ce modegravele de politique drsquoentreprise les variables userTrLevel orgTHR impact et vul re-
preacutesentent respectivement la reacuteputation (confiance) du sujet de la requecircte le seuil de toleacuterance
de lrsquoentreprise par rapport au risque drsquoune requecircte lrsquoimpact provoqueacute dans lrsquoeacuteventualiteacute ougrave la res-
source demandeacutee est compromise et la vulneacuterabiliteacute du contexte drsquoaccegraves Le noyau drsquoune politique
108
54 Deacuteleacutegation
drsquoentreprise est la meacutetrique drsquoeacutevaluation du risque deacutefinie agrave travers les axiomes (3) et (4) Ainsi
les eacuteveacutenements essentiels pour ce modegravele de politiques sont RiskHolds et RiskDoesNotHold qui sont
en lrsquooccurrence controcircleacutes par des conditions lieacutees aux paramegravetres que nous avons deacutefinis Ces deux
eacuteveacutenements sont geacutereacutes gracircce aux preacutedicats (2) et (2rsquo) qui deacutependent de la satisfaction des condi-
tions des axiomes (3) et (4) Le preacutedicat (2) permet de changer lrsquoeacutetat du contexte en mettant la
valeur du fluent ContextHolds agrave vrai ce qui signifie que le contexte est valideacute pour la requecircte reccedilue
En revanche agrave lrsquooccurrence de lrsquoeacuteveacutenement RiskDoesNotHold le preacutedicat (2rsquo) met le contexte dans
un eacutetat de non-validation provoquant ainsi lrsquointerdiction de lrsquoaccegraves reacuteclameacute par la requecircte (axiomes
(5rsquo) (1rsquo)) Inversement lrsquoaccegraves est autoriseacute pour la requecircte reccedilue jugeacutee non-risqueacutee par la politique
drsquoentreprise (axiomes (5) (1))
534 Synthegravese
Cette premiegravere partie porte sur le controcircle drsquoaccegraves dans les environnements RSE Nous avons
commenceacute par une repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves dans laquelle nous avons
preacuteciseacute que nous nous sommes baseacutes sur un modegravele ABAC avec une conception drsquoarchitecture inspireacutee
drsquoXACML et ce afin drsquoavoir un modegravele de controcircle drsquoaccegraves flexible en matiegravere de deacutefinition de regravegles
Ensuite nous avons abordeacute la modeacutelisation formelle de notre meacutecanisme de controcircle drsquoaccegraves dans
laquelle nous avons preacutesenteacute les diffeacuterents patrons de conception baseacutes sur la logique temporelle
Event-calculus agrave savoir les regravegles de partage de ressources les politiques de partage et drsquoentreprise
et les policySets qui permettent de combiner les deux niveaux de politiques (sujet et entreprise) Dans
la section suivante nous aborderons une particulariteacute du controcircle drsquoaccegraves lieacutee aux RSEs agrave savoir les
deacuteleacutegations qui consiste en des autorisations temporaires
54 Deacuteleacutegation
La deacuteleacutegation est un type de permission qui permet agrave un sujet de deacutefinir des regravegles temporaires au
profit drsquoun autre sujet vis-agrave-vis de certaines ressources Lrsquoavantage de lrsquoutilisation de ce type drsquoautori-
sation reacuteside dans le fait qursquoune deacuteleacutegation est auto-reacutevocable Par conseacutequent la deacuteleacutegation reacuteduit
consideacuterablement lrsquoadministration des regravegles de controcircle drsquoaccegraves dans des perspectives drsquoindispo-
nibiliteacute de sujets qui srsquooccupent des tacircches ne devant pas ecirctre interrompues Prenons un exemple
simple ougrave lrsquoutilisateur Bob doit quitter temporairement sa communauteacute et certaines tacircches de Bob
doivent ecirctre reacutealiseacutees Dans de telles circonstances lrsquoideacuteal serait que Bob puisse deacuteleacuteguer les tacircches
qui doivent ecirctre reacutealiseacutees agrave un autre sujet (un collegravegue par exemple) jusqursquoagrave son retour Par ailleurs
supposons que Bob soit deacutebordeacute et qursquoune date limite drsquoune livraison approche Une bonne solution
pour Bob consiste agrave deacuteleacuteguer ses travaux agrave une autre personne qualifieacutee et ce pour un intervalle de
temps donneacute par exemple la date butoir de la livraison
109
Chapitre 5 Controcircle drsquoaccegraves
541 Preacutesentation formelle de deacuteleacutegation
La deacuteleacutegation est une forme particuliegravere drsquoautorisation de controcircle drsquoaccegraves Plus preacuteciseacutement le
processus de modeacutelisation du meacutecanisme est plus au moins similaire agrave celui du controcircle drsquoaccegraves
agrave savoir la modeacutelisation des cibles regravegles politiques et policySets En revanche la speacutecificiteacute de
deacuteleacutegation est lieacutee agrave lrsquoaspect temporel ainsi qursquoagrave certaines conditions concernant les deux parties de
deacuteleacutegation agrave savoir le deacuteleacutegant qui deacutelegravegue lrsquoaccegraves agrave une ressource et le deacuteleacuteguataire qui consomme
cette ressource par le biais de lrsquoautorisation deacuteleacutegueacutee
Lrsquoaspect temporel drsquoune regravegle de deacuteleacutegation peut ecirctre consideacutereacute sous deux formes une dureacutee
baseacutee sur des contraintes lieacutees au deacuteleacutegant ou bien pour une dureacutee preacutealablement deacutetermineacutee La
validiteacute de la premiegravere forme de deacuteleacutegation deacutepend de la disponibiliteacute du deacuteleacutegant Dans ce cas une
regravegle de deacuteleacutegation nrsquoest valable que dans le cas ougrave le deacuteleacutegant est hors-ligne ie quitte (temporaire-
ment) la communauteacute de collaboration Dans le cadre de notre conception drsquoOpenPaaS RSE ce type
de deacuteleacutegation concerne uniquement les sujets internes drsquoune entreprise Quant agrave la seconde forme de
deacuteleacutegation baseacutee sur une peacuteriode preacutedeacutefinie elle concerne les sujets externes agrave qui certaines tacircches
drsquoun acteur interne (qui nrsquoest pas en mesure de les accomplir) seront deacuteleacutegueacutees
Une politique de deacuteleacutegation reste similaire agrave une politique de regravegle standard Plus preacuteciseacutement
une politique de deacuteleacutegation est baseacutee sur les mecircmes strateacutegies de combinaison des effets de regravegles
Cependant vu que dans une politique de deacuteleacutegation nous nous focalisons principalement sur le sujet
deacuteleacuteguataire nous avons fait le choix que les politiques soient construites sur la base des regravegles
ayant le mecircme sujet Sachant que la modeacutelisation drsquoune politique de deacuteleacutegation est la mecircme qursquoune
politique de regravegles nous allons dans ce qui suit deacutetailler les deux formes de deacuteleacutegation et preacutesenter
uniquement les modegraveles lieacutes aux regravegles de deacuteleacutegation
5411 Deacuteleacutegation interne
Comme son nom lrsquoindique une deacuteleacutegation ldquointernerdquo implique uniquement les sujets internes agrave une
entreprise en tant que deacuteleacuteguataires agrave travers les autorisations drsquoun deacuteleacutegant eacutegalement interne En
drsquoautres termes une deacuteleacutegation interne est une forme particuliegravere de partage de droits entre collegravegues
appartenant agrave une mecircme entreprise Par exemple pendant son absence James deacutelegravegue agrave sa collegravegue
Alice la tacircche de gestion de deacutemarches de recrutement des eacutetudiants stagiaires tel que Jessy au sein de
la communauteacute collaborative Cependant la supervision sur les deacuteleacutegations drsquoautorisations de la part
de lrsquoentreprise ne doit pas ecirctre neacutegligeacutee Vu qursquoil srsquoagit de sujets internes agrave lrsquoentreprise pour controcircler
les deacuteleacutegations cette derniegravere se contente uniquement de contraintes suppleacutementaires srsquoajoutant aux
regravegles de deacuteleacutegation deacutefinies par les sujets Car la mise en place des regravegles entreprises baseacutees sur le
risque nrsquoest pas vraiment neacutecessaire vu que les paramegravetres drsquoeacutevaluation du risque (confiance vul-
neacuterabiliteacute environnement et impact de ressources) sont censeacutees ecirctre optimaux au sein de la sphegravere
priveacutee de lrsquoentreprise Selon notre point de vue les contraintes de deacuteleacutegation internes concernent
plus le niveau drsquohabilitation du sujet deacuteleacuteguataire Plus preacuteciseacutement chaque sujet peut reacutealiser uni-
quement les tacircches que son niveau drsquohabilitation au sein de son entreprise lui permet de faire et
ce en fonction des politiques internes et subjectives de gestion drsquohabilitation de son entreprise Le
110
54 Deacuteleacutegation
principal avantage drsquoun tel mode de deacuteleacutegation est que la dureacutee de deacuteleacutegation est indeacutetermineacutee dans
le temps mais controcircleacutee au moyen de contraintes de disponibiliteacute et drsquohabilitation En outre la deacute-
leacutegation interne permet de simplifier la gestion des regravegles de deacuteleacutegation vu qursquoon est pas obligeacute de
redeacutefinir (mettre agrave jour) la mecircme regravegle de deacuteleacutegation chaque fois qursquoelle arrive au terme de sa dureacutee
preacutedeacutefinie
sort r sfluent DelegRulePermitted(r) fluent DelegRuleDenied(r) fluent DelegRuleNotApplicable(r)fluent DelegRuleInValid(r) fluent IsQualified(s)
event ApproveDelegRule(r) event DisApproveDelegRule(r) event RejectDelegRule(r)
forall r time Initiates (ApproveDelegRule(s) DelegRulePermitted(s) time)forall r time Initiates (DisApproveDelegRule(s) DelegRuleDenied(s) time)forall r time Initiates (RejectDelegRule(s) DelegRuleNotApplicable(s) time)
forall r time s Happens (ApproveDelegRule(r)time)rarrHoldsAt(TargetHolds(r)time) and HoldsAt(IsQualified(s)time) and Hold-sAt(DelegInValid(r)time) (1)
forall r time s Happens (DisApproveDelegRule(s)time)rarrHoldsAt(TargetHolds(s)time) or not HoldsAt(IsQualified(r)time) or HoldsAt(DelegInValid(r)time) (2)
forall r time Happens (RejectDelegRule(r)time)rarr HoldsAt (TargetDoesntHold(r)time)forall r not HoldsAt (DelegInValid(r)0) (3)
Modegravele 11 (Modegravele de regravegle de deacuteleacutegation)
Le modegravele 11 illustre la modeacutelisation formelle de ce type de regravegle de deacuteleacutegation interne Glo-
balement le modegravele est assez similaire agrave celui des regravegles classiques agrave lrsquoexception de deux fluents
speacutecifiques agrave la deacuteleacutegation agrave savoir le fluent DelegRuleInValid et le fluent IsQualified Le fluent
DelegRuleInValid permet drsquoindiquer la validiteacute de lrsquoautorisation de deacuteleacutegation en fonction de la dispo-
nibiliteacute du deacuteleacutegant Par ailleurs quand son eacutetat est agrave vrai le fluent IsQualified signifie que le sujet est
habiliteacute agrave accomplir les tacircches qui lui sont deacuteleacutegueacutees La combinaison des contraintes de disponibiliteacute
et drsquohabilitation se fait gracircce agrave la veacuterification des preacutedicats (1) et (2) pour respectivement autoriser
ou rejeter la requecircte de deacuteleacutegation reccedilue La veacuterification de la contrainte de disponibiliteacute est illustreacutee
sur le modegravele 13 Quand agrave la contrainte drsquohabilitation elle est deacutetailleacutee dans la proceacutedure illustreacutee
sur le modegravele 12
Contrainte drsquohabilitation
Dans le modegravele 12 le niveau drsquohabilitation drsquoun sujet s ainsi que le seuil minimum drsquohabilitation
sont reacutecupeacutereacutes par le CES au moment de la reacuteception de la requecircte depuis le CIS Afin de valider le
niveau drsquohabilitation du sujet lrsquoaxiome (1) veacuterifie si la valeur de lrsquoattribut de confiance du deacuteleacutegua-
taire est supeacuterieure ou eacutegale au seuil deacutefini par lrsquoentreprise proprieacutetaire de la ressource demandeacutee
Inversement lrsquoaxiome (2) ne valide pas lrsquohabilitation du sujet deacuteleacuteguataire
111
Chapitre 5 Controcircle drsquoaccegraves
sort s userQL orgTHRpredicate UserQualifLevel(userQL) predicate OrganizationThold(orgTHR)fluent IsQualified(s)event QualifHolds(s) event QualifDoesNotHold(s)
forall s time Initiates (QualifHolds(s) IsQualified(s) time)forall s time Terminates (QualifDoesNotHold(s) IsQualified(s) time)
forall s time userQL orgTHR Happens (QualifHolds(s)time) and UserQualifLevel(userQL) and Or-ganizationThold(orgTHR)rarr orgTHR ge userQL (1)
forall s time userQL orgTHR Happens (QualifDoesNotHold(s)time) and UserQualifLevel(userQL)and OrganizationThold(orgTHR)rarr orgTHR lt userQL (2)
forall s not HoldsAt (IsQualified(s)0)
Modegravele 12 (Modegravele de veacuterification drsquohabilitation drsquoun sujet)
Disponibiliteacute du deacuteleacutegant
Dans le modegravele 13 nous veacuterifions la disponibiliteacute drsquoun sujet deacuteleacutegant repreacutesenteacute par la variable
d Pour cela nous nous basons sur lrsquooccurrence des eacuteveacutenements Connect et Disconnect pour changer
lrsquoeacutetat du statut du sujet deacuteleacutegant IsOnLine entre vrai et faux Les preacutedicats (1) et (2) permettent
de changer lrsquoeacutetat de la validiteacute de la regravegle de deacuteleacutegation agrave savoir le fluent DelegInValid Ce dernier
fluent est impliqueacute dans le modegravele principal de veacuterification de la regravegle de deacuteleacutegation (Modegravele 11)
Lrsquooccurrence de lrsquoeacuteveacutenement SuspendDeleg change lrsquoeacutetat du fluent DelegInValid agrave vrai et ainsi suspend
la validiteacute de la regravegle Agrave lrsquoopposeacute lrsquooccurrence de RunDeleg permet de reacutetablir la validiteacute de la regravegle en
changeant le fluent DelegInValid agrave faux Quant aux axiomes (3) et (4) ils permettent respectivement
de (re)suspendre et (re)activer automatiquement lrsquoinstance courante de la regravegle de deacuteleacutegation en
fonction de la disponibiliteacute du sujet deacuteleacutegant ldquodrdquo en question
sort d s
fluent IsOnLine(d) fluent DelegInValid(s)event Connect(d) event Disconnect(d) event RunDeleg(s) event SuspendDeleg(s)
forall d time Initiates(Connect(d) IsOnLine(d) time)forall d time Terminates(Disconnect(d) IsOnLine(d) time)
forall s time Initiates(SuspendDeleg(s) DelegInValid(s) time) (1)forall s time Terminates(RunDeleg(s) DelegInValid(s) time) (2)
forall d s time Happens (SuspendDeleg(s)time)rarr IsOnline(d) (3)forall d s time Happens (RunDeleg(s)time)rarr not IsOnline(d) (4)
forall d time Happens (Connect(d)time)rarr not IsOnline(d)forall d time Happens (Disconnect(d)time)rarr IsOnline(d)
Modegravele 13 (delegator Status Verification model)
112
54 Deacuteleacutegation
542 Deacuteleacutegation externe
Une deuxiegraveme maniegravere de concevoir des regravegles de deacuteleacutegation vis-agrave-vis drsquoun deacuteleacuteguataire externe
agrave lrsquoentreprise consiste agrave deacutefinir des permissions valables uniquement pour un intervalle de temps
preacutedeacutefini par le deacuteleacutegant Le modegravele 14 illustre comment une dureacutee de vie drsquoune regravegle est eacutetablie
par rapport agrave un temps drsquoexpiration preacutedeacutefini
sort s tStar t tEnd
fluent DelegInValid(s)
forall s tStar t tEnd Trajectory(DelegRulePermitted(s) tStar t DelegInValid(s) tEnd)
Modegravele 14 (Veacuterification de la dureacutee de la deacuteleacutegation)
Dans le modegravele 14 nous avons deacutefini deux points de temps agrave savoir tStar t et tEnd pour deacutesigner
respectivement le temps drsquoactivation et drsquoexpiration de lrsquoautorisation de deacuteleacutegation Gracircce au preacutedicat
Trajectory quand lrsquoeacutetat du fluent DelegRulePermitted est vrai ce qui signifie que la regravegle est autoriseacutee
pour la premiegravere fois lrsquoeacutetat du fluent DelegInValid prend la valeur vraie apregraves un intervalle de temps
calculeacute agrave base de la somme des deux points de temps de la regravegle ie tStar t + tEnd Par exemple
la dureacutee drsquoune regravegle donneacutee est preacutedeacutefinie agrave 5 uniteacutes de temps Supposons que la regravegle en question
soit activeacutee (autorise lrsquoaccegraves vis-agrave-vis drsquoune requecircte donneacutee) agrave lrsquoinstant 2 Ainsi agrave partir de lrsquoinstant 8
((5+2)+1) la regravegle ne sera plus valable ce qui signifie que la mecircme requecircte preacutealablement autoriseacutee
sera rejeteacutee apregraves lrsquoinstant 7 Le fluent DelegInValid qui est initialiseacute agrave faux au niveau du modegravele 11
(axiome (3)) et ce pour chaque nouvelle instance de regravegle de deacuteleacutegation Tant que lrsquoeacutetat de ce fluent
reste agrave faux la regravegle de deacuteleacutegation reste valide
543 Application des modegraveles sur lrsquoexemple de motivation
Le modegravele 15 illustre lrsquoinstance de regravegle DelegAlice1 du sceacutenario dans lequel James deacutelegravegue agrave
Alice les droits de gestion des recrutements des stagiaires
r DelegAlice1
forall s o a d time Happens(Match(DelegAlice1)time) rarr s = Aliceand o=Calendar and a=PUT and d=James and ruleState=Activated not Hold-sAt(DelegInValid(DelegAlice1)time) (1)
forall s o a d time Happens(MisMatch(DelegAlice1)time)rarr s 6= Aliceor o 6= Calendar or a 6= PUT or d 6= James or ruleState 6=Activated or Hold-sAt(DelegInValid(DelegAlice1)time) (2)
Modegravele 15 (Instance drsquoune regravegle de deacuteleacutegation baseacutee sur la dureacutee de validiteacute)
Dans cette instance de regravegle des valeurs sont assigneacutees aux attributs de la regravegle de deacuteleacutegation
agrave savoir ceux de la cible (s Sujet o Objet a Action) ainsi que le deacuteleacutegant d Avant la phase de
raisonnement sur la regravegle de deacuteleacutegation les attributs de la requecircte drsquoAlice seront accompagneacutes par
113
Chapitre 5 Controcircle drsquoaccegraves
lrsquoinformation concernant lrsquoidentiteacute du deacuteleacutegant en lrsquooccurrence James En outre la validiteacute de la regravegle
est exprimeacutee gracircce au fluent DelegInValid dont lrsquoeacutetat doit ecirctre agrave faux pour que la regravegle soit valide
Ainsi pour que Alice puisse consommer ses droits deacuteleacutegueacutes drsquoabord il faut que lrsquoensemble de tous
les attributs de sa requecircte correspondent agrave ceux de la regravegle DelegAlice1 En plus la regravegle DelegAlice1
doit ecirctre valide au moment ougrave la requecircte a lieu (axiome (1)) Si un des attributs ne correspond pas
ou la validiteacute de la requecircte arrive agrave terme la requecircte sera par conseacutequent rejeteacutee (axiome (2))
55 Conclusion
Dans ce chapitre nous avons preacutesenteacute notre contribution concernant lrsquoaspect gestion du controcircle
drsquoaccegraves dans les environnements collaboratifs heacuteteacuterogegravenes drsquoOpenPaaS RSE Nous avons commenceacute
par la repreacutesentation abstraite de notre modegravele de controcircle drsquoaccegraves conccedilu sur la base drsquoun modegravele
ABAC qui reacutepond agrave nos besoins exprimeacutes dans la probleacutematique Nous avons par ailleurs illustreacute et
deacutetailleacute une vision architecturale de notre framework de controcircle drsquoaccegraves Ensuite nous avons abordeacute
la repreacutesentation formelle utiliseacutee pour la mise en œuvre de notre modegravele de politique en lrsquooccur-
rence une formalisation logique du modegravele XACML baseacutee sur la logique temporelle Event-Calculus
Enfin nous avons abordeacute une particulariteacute du controcircle drsquoaccegraves lieacutee agrave notre contexte RSE agrave savoir la
deacuteleacutegation qui consiste principalement agrave associer un contexte temporel agrave une autorisation drsquoaccegraves
Nous avons consideacutereacute la deacuteleacutegation sous deux diffeacuterents formes agrave savoir les deacuteleacutegations internes et
les deacuteleacutegations externes Nous avons baseacute notre deacutefinition de la deacuteleacutegation interne sur un cloisonne-
ment intra-entreprise et des contraintes de disponibiliteacute du deacuteleacutegant et de niveau drsquohabilitation du
deacuteleacuteguataire Quant agrave la deacuteleacutegation externe elle deacutepasse les frontiegraveres de lrsquoentreprise dans le sens ougrave
elle est principalement baseacutee sur une peacuteriode de validiteacute preacute-eacutetablie au moment de la deacutefinition de
lrsquoautorisation Elle est en outre confronteacutee agrave des politiques plus avanceacutees impliquant des politiques
de partage simples deacutefinies par les sujets et les politiques de lrsquoentreprise qui sont baseacutees sur une eacuteva-
luation du risque de de la confiance Dans les deux chapitres suivants nous aborderons les questions
sur la conception deacutetailleacutee des composants cleacutes drsquoune politique entreprise agrave savoir la gestion du
risque et de la confiance numeacuterique
114
Chapitre 6
Gestion du risque
Sommaire
61 Introduction 113
62 Contexte 113
63 Meacutetrique drsquoeacutevaluation du risque 114
631 Deacutefinitions 116
64 Expeacuterimentation 119
641 Impleacutementation 119
642 Reacutesultats 120
643 Discussion 122
65 Conclusion 123
61 Introduction
Dans ce chapitre nous allons preacutesenter notre meacutetrique drsquoeacutevaluation du risque drsquoune requecircte de
demande drsquoaccegraves Cette meacutetrique est le principal fondement de notre modeacutelisation des politiques
entreprises Nous allons en premier lieu briegravevement rappeler le contexte et la motivation qui nous
ont orienteacutes vers une conception drsquoun modegravele de controcircle drsquoaccegraves dynamique baseacute sur la gestion du
risque Ensuite nous parlerons du principe drsquoalignement des concepts standards de gestion du risque
avec ceux du controcircle drsquoaccegraves et les environnements collaboratifs RSE Nous finirons avec une eacutetude
expeacuterimentale qui illustre lrsquoapport du meacutecanisme de gestion du risque en matiegravere de deacutecision de
controcircle drsquoaccegraves
62 Contexte
Notre principale motivation derriegravere la volonteacute drsquoavoir un meacutecanisme de controcircle drsquoaccegraves dy-
namique pour la gestion des autorisations au sein des communauteacutes OpenPaaS est le partage user-
centric ie baseacute sur le sujet de la collaboration En effet nous consideacuterons qursquoil est important que les
115
Chapitre 6 Gestion du risque
entreprises puissent garder le controcircle sur leurs ressources partageacutees par leur personnel (acteurs)
Une solution possible est la mise en place de regravegles entreprise qui font office drsquoexception pour les
regravegles de partage et ce pour chaque nouvelle regravegle ie agrave chaque partage de ressource Cependant
comme il srsquoagit drsquoun environnement ubiquitaire (freacutequence eacuteleveacutee de partage) lrsquoencadrement des
regravegles de partage par lrsquoentreprise ne peut pas se faire agrave une granulariteacute aussi fine Le controcircle doit se
faire drsquoune maniegravere plus abstraite via un meacutecanisme geacuteneacuterique qui prend comme paramegravetres drsquoen-
treacutee les attributs de la cible de la requecircte de demande drsquoaccegraves Ainsi lrsquoobjectif consistera agrave veacuterifier
si une politique de partage est adapteacutee agrave la requecircte reccedilue agrave lrsquoinstant de reacuteception de cette derniegravere
En drsquoautres termes cela permet de remettre en cause les politiques utilisateurs qui peuvent ecirctre mal
deacutefinies obsolegravetes voire mecircme non-autoriseacutees (cas drsquoune usurpation drsquoidentiteacute) Ainsi la question
est de savoir comment traiter les attributs drsquoune cible drsquoune requecircte afin de mesurer les eacuteventuelles
menaces et leurs impacts au sein drsquoune communauteacute qui ne peut ecirctre sans vulneacuterabiliteacutes
Par ailleurs le cadre RSE preacutesente une autre speacutecificiteacute qui est la coproprieacuteteacute de ressources Car
concregravetement degraves lors qursquoune ressource est partageacutee elle devient en reacutealiteacute la proprieacuteteacute de tous les
acteurs qui la partagent Ainsi il est important de prendre en consideacuteration cette notion de proprieacuteteacute
Enfin il est eacutegalement inteacuteressant de prendre en consideacuteration lrsquoheacuteteacuterogeacuteneacuteiteacute des communauteacutes
en matiegravere de gestion des identiteacutes et de lrsquoauthentification En effet dans notre gestion de lrsquoauthen-
tification dans OpenPaaS RSE chaque entreprise peut garder son meacutecanisme (protocole) drsquoauthen-
tification Ainsi vu que les meacutecanismes drsquoauthentification ne reflegravetent pas tous la mecircme robustesse
en matiegravere de fiabiliteacute dans la certification des identiteacutes numeacuteriques cela peut ecirctre consideacutereacute comme
une vulneacuterabiliteacute du systegraveme de controcircle drsquoaccegraves vu qursquoil se base sur des identiteacutes authentifieacutees Par
conseacutequent prendre en consideacuteration la fiabiliteacute du meacutecanisme drsquoauthentification peut contrebalan-
cer ces vulneacuterabiliteacutes dues agrave la volonteacute de preacuteservation du meacutecanisme drsquoauthentification pour chaque
entreprise
Dans ce sens nous proposons drsquoameacuteliorer les meacutecanismes de controcircle drsquoaccegraves classiques gracircce
une approche baseacutee sur lrsquoeacutevaluation du risque refleacuteteacute par les requecirctes de demande drsquoaccegraves En mixant
les meacutetriques standards drsquoeacutevaluation du risque avec les concepts fondamentaux du controcircle drsquoaccegraves
on peut offrir une solution aux entreprises qui leur permette de rejeter certaines requecirctes consideacutereacutees
comme suspectes ou pas assez fiables Cela se fait au moyen drsquoun seuil minimum de toleacuterance de
risque deacutefini par lrsquoentreprise La meacutetrique drsquoeacutevaluation du risque avec le seuil de lrsquoentreprise consti-
tuent les principaux composants des politiques entreprises qui se mixent agrave celles des utilisateurs au
niveau du PolicySet
63 Meacutetrique drsquoeacutevaluation du risque
Le NIST 56 deacutefinit le risque comme eacutetant la probabiliteacute drsquoune menace et son impact sur le sys-
tegraveme [151] Afin de mener agrave bien notre approche de formalisation du risque nous avons drsquoabord
besoin drsquoaligner les concepts du risque avec ceux du controcircle drsquoaccegraves et le contexte RSE Nous consi-
56 National Institue of Standards and Technology http wwwnistgov
116
63 Meacutetrique drsquoeacutevaluation du risque
deacuterons le cas drsquoun attaquant qui vole des informations sensibles (ie menace) agrave travers une in-
terface compromise (ie la vulneacuterabiliteacute) qui conduit agrave des pertes concernant lrsquoimage (la reacutepu-
tation) de lrsquoentreprise (ie impact) Dans ce sens lrsquoeacutevaluation du risque se reacutesume agrave la formule
suivante ([6] [151]) risque = vulneacuterabiliteacute times menace times impactlArrrArr f (V M I)
Lrsquoimpact drsquoun accegraves non autoriseacute est eacutetroitement lieacute agrave la ressource demandeacutee Eacutetant donneacute que
certaines ressources sont plus importantes ou sensibles que drsquoautres elles neacutecessitent davantage de
vigilance pour leur protection En outre certaines actions sur une ressource peuvent aussi avoir des
conseacutequences plus graves que drsquoautres En effet une information tregraves confidentielle ne doit pas ecirctre
facile drsquoaccegraves mecircme en lecture Dans le mecircme sens un rapport public peut ecirctre facilement consul-
table (ie lecture) neacuteanmoins il ne doit ecirctre ni modifieacute ni effaceacute par un accegraves non autoriseacute Par
conseacutequent dans notre approche nous proposons drsquoeacutevaluer lrsquoimpact du risque en eacutevaluant lrsquoimpor-
tance de la ressource et les conseacutequences que peut avoir lrsquoaction deacutesireacutee sur cette ressource
Les vulneacuterabiliteacutes conduisant agrave un accegraves non autoriseacute dans une communauteacute RSE sont geacuteneacute-
ralement dues agrave un meacutecanisme drsquoauthentification qui peut ecirctre trompeacute (ie deacutefaillant) En effet
si lrsquoidentiteacute de lrsquoutilisateur effectuant la requecircte ne peut pas ecirctre garantie il existe un risque que
lrsquoutilisateur soit un usurpateur En reacutealiteacute certains meacutecanismes drsquoauthentification sont plus sucircrs que
drsquoautres Une identification en deux eacutetapes par exemple est plus difficile agrave tromper qursquoune simple
connexion par mot de passe Mais imposer un meacutecanisme drsquoauthentification fort et eacuteventuellement
coucircteux comme lrsquoauthentification biomeacutetrique agrave tous les utilisateurs nrsquoest ni recommandeacute ni eacutevident
notamment dans un contexte heacuteteacuterogegravene comme le RSE
Concernant la menace elle eacutemane directement du sujet de la requecircte En effet crsquoest lrsquoaction du
sujet qui peut geacuteneacuterer lrsquoeacuteveacutenement et ses conseacutequences et ce drsquoune maniegravere volontaire (ie attaque)
ou involontaire (ie erreur) Par conseacutequent pour eacutevaluer la probabiliteacute drsquoune attaque nous propo-
sons drsquoeacutevaluer la fiabiliteacute drsquoun utilisateur Par exemple le systegraveme ne doit pas ecirctre aussi indulgent
avec les utilisateurs qui essaient souvent drsquoacceacuteder aux ressources non autoriseacutees qursquoavec ceux qui
ont un comportement exemplaire
Nous rappelons que le principal objectif derriegravere lrsquoeacutevaluation du risque consiste agrave trouver une meacute-
trique optimale qui permette de deacutefinir les politiques abstraites drsquoentreprise En effet nous consideacute-
rons drsquoune part que le RSE est tregraves dynamique en matiegravere drsquoajoutsuspension drsquoutilisateursressourcescommunauteacutes et que drsquoautre part une entreprise nrsquoest pas en mesure de connaicirctre en temps reacuteel les
informations sur toutes les entiteacutes au sein des diffeacuterentes communauteacutes ougrave ses utilisateurs sont impli-
queacutes et ses ressources sont deacuteployeacutees Par conseacutequent nous proposons que lrsquoeacutevaluation du risque se
fasse au moyen drsquoun meacutecanisme commun et centraliseacute au niveau de chaque communauteacute et que les
entreprises deacutefinissent un seuil de toleacuterance de risque en dessous duquel toutes les requecirctes seront
rejeteacutees Crsquoest de cette maniegravere que dans notre systegraveme les entreprises gardent le controcircle sur les
deacutecisions eacutetablies par un meacutecanisme deacuteleacutegueacute de controcircle drsquoaccegraves sur leurs ressources
117
Chapitre 6 Gestion du risque
631 Deacutefinitions
Dans cette section nous allons formaliser les concepts preacuteceacutedemment deacutefinis agrave savoir Vulneacutera-
biliteacute Menace et Impact En outre nous montrerons comment nous eacutevaluons le risque en utilisant
des attributs drsquoune cible de requecircte de demande drsquoaccegraves avec le contexte
Definition 1 (Impact) Lrsquoimpact deacutepend de lrsquoaction demandeacutee sur une ressource donneacutee agrave travers la
requecircte reccedilue Plus la ressource est importante plus lrsquoimpact sera eacuteleveacute Nous consideacuterons qursquoune ressource
est importante lorsque le nombre drsquoautorisations deacutefinies sur cette ressource est reacuteduit Par conseacutequent
pour une requecircte ldquoreqprimeprime qui implique lrsquoutilisateur ldquouprimeprime la ressource ldquor primeprime et lrsquoaction ldquoaprimeprime nous calculons
la moyenne du nombre de regravegles qui approuvent lrsquoopeacuteration drsquoaccegraves ldquoaprimeprime sur la ressource ldquor primeprime agrave lrsquoeacutegard de
tous les utilisateurs de la communauteacute en question
Impact(a r) = 1minussum
uisinUser Polic y(u a r)Card(User)
(61)
Avec
User lrsquoensemble des utilisateurs de la communauteacute
a isin Action lrsquoensemble des actions (ie R W X)
r isin Resource lrsquoensemble de ressources de la communauteacute
Pol ic y les deacutecisions de politiques de controcircle drsquoaccegraves (accept=1 re jec t=0)
Card(User) le nombre des utilisateurs de la communauteacute
Nous prenons lrsquoopposeacute de la moyenne eacutetant donneacute que lrsquoimpact baisse quand le nombre drsquoutili-
sateurs ayant accegraves agrave la ressource en question augmente
Definition 2 (Vulneacuterabiliteacute) Une vulneacuterabiliteacute deacutepend de la fiabiliteacute du meacutecanisme drsquoauthentification
implanteacute au niveau de la communauteacute En effet nous consideacuterons que les meacutecanismes drsquoauthentifica-
tion existant ne sont pas sans failles de seacutecuriteacute et par conseacutequent peuvent ecirctre trompeacutes Par ailleurs
lrsquoefficaciteacute des meacutecanismes drsquoauthentification deacutepend du contexte drsquoutilisation De plus agrave notre connais-
sance il n y a pas de standard qui classe les meacutecanismes drsquoauthentification existant par lrsquoordre de leur
robustesse Par conseacutequent nous consideacuterons le classement des meacutecanismes drsquoauthentification comme
eacutetant un paramegravetre subjectif qui deacutepend des termes du contrat de feacutedeacuteration entre les entreprises dans le
cadre de la communauteacute en question Dans les expeacuterimentations (section 63) eacutelaboreacutees dans le cadre de
cette thegravese nous nous sommes baseacutes sur le classement (subjectif) croissant suivant Auth = Guest PIN
Loginpassword OAuth 2 Step Validation Biometric Par conseacutequent nous attribuons agrave chaque meacute-
canisme drsquoauthentification un score qui repreacutesente le niveau robustesse Ainsi pour une requecircte donneacutee
req
118
63 Meacutetrique drsquoeacutevaluation du risque
Vulnerabil i t y(req) = Score(AC) (62)
Avec
C la communauteacute ougrave la requecircte req est eacutetablie
AC le meacutecanisme drsquoauthentification C
Score Authrarr [0 1] the strength level of AC
Notons que les scores sont eacutegalement subjectifs et sont deacutefinis par le creacuteateur de la communauteacute
Un exemple de score est illustreacute dans la table 61
Definition 3 (Menace) La menace deacutepend de la confiance du sujet agrave lrsquoorigine de la requecircte en fonction
de lrsquoeacutevaluation de sa reacuteputation sur la base de son historique drsquointeractions au sein de la communauteacute
Plus la confiance de lrsquoutilisateur est eacuteleveacutee moins le risque sera eacuteleveacute Comme la valeur de confiance drsquoun
utilisateur appartient agrave lrsquointervalle ]01[ nous interpreacutetons cela par la formule suivante
Threat(u) = 1minus Trust(u) (63)
Avec
Threat la menace
Trust la confiance numeacuterique du sujet
u le sujet
Avec notre meacutecanisme drsquoeacutevaluation de risque nrsquoimporte quelle meacutetrique drsquoeacutevaluation de confiance
peut ecirctre facilement inteacutegreacutee Cependant dans le cadre de cette thegravese nous nous basons sur le meacute-
canisme drsquoeacutevaluation de reacuteputation que nous avons proposeacute et qui sera preacutesenteacute dans le chapitre
Confiance numeacuterique
Definition 4 (Risque) Dans notre contexte nous avons testeacute plusieurs formules de combinaison des
paramegravetres preacuteceacutedents Nous avons fini par choisir une approche lineacuteaire vu les performances qui en
reacutesultent Ces reacutesultats sont deacutetailleacutes dans la section (63) expeacuterimentation En outre dans certains
contextes il est possible qursquoun paramegravetre soit plus important qursquoun autre crsquoest pourquoi nous avons
utiliseacute des coefficients pour parameacutetrer cette importance sachant que tous les coefficients (ou poids) sont
par deacutefaut eacutegaux agrave 1
119
Chapitre 6 Gestion du risque
Risk(req) =kv times V (C) + kt times T (u) + ki times I(a r)
kv + kt + ki(64)
Avec
V la vulneacuterabiliteacute et son coefficient kv
C la communauteacute ougrave la requecircte req est eacutetablie
T la menace et son coefficient kt
u le sujet de la requecircte req
I lrsquoimpact et son coefficient ki
a lrsquoaction demandeacutee agrave travers la requecircte req
Dans notre cas nous consideacuterons que lrsquoimpact de compromettre une ressource est plus important
que les autres paramegravetres Ainsi nous lui avons attribueacute le poids 3 compareacute agrave 1 pour les autres
paramegravetres Lrsquoutiliteacute de la pondeacuteration peut ecirctre constateacutee agrave partir de la figure 61 Dans ce graphique
nous avons fixeacute la vulneacuterabiliteacute au niveau maximum 1
FIGURE 61 ndash Les valeurs du risque pour une pondeacuteration 311 et une vulneacuterabiliteacute maximale
Seuil de toleacuterance du risque
Une entreprise gegravere ses politiques au sein drsquoune communauteacute drsquoune maniegravere autonome au moyen
drsquoun seuil maximal de toleacuterance du risque des requecirctes drsquoacteurs externes Ainsi pour deacuteterminer
le seuil une entreprise peut opter pour un meacutecanisme comme Cost (coucirct) [47] ou lrsquoeacutevaluation des
dommages (damages) [154 143] Il existe mecircme des travaux qui traitent les problegravemes de deacutefinition
de seuil dynamique et adaptatif comme [42 41] Dans le cadre de cette thegravese nous nrsquoavons pas
abordeacute ce challenge
Conformeacutement agrave nos objectifs notre approche nous permet de prendre en compte des informa-
tions suppleacutementaires pour eacutevaluer la probabiliteacute de
120
64 Expeacuterimentation
bull lrsquousurpation drsquoidentiteacute comme dans lrsquoexemple de motivation 2 agrave travers la menace que reflegravete
lrsquoacteur en question (cf(ex2) section Exemple de motivation chapitre Probleacutematique et
motivations)
bull lrsquoimportance de la ressource comme dans lrsquoexemple de motivation 3 agrave travers lrsquoImpact Ce qui
permet par ailleurs de tenir compte de la sensibiliteacute dynamique drsquoune ressource collaborative
(cf(ex3) section Exemple de motivation chapitre Probleacutematique et motivations)
bull les failles des infrastructures de seacutecuriteacute comme dans lrsquoexemple de motivation 4 gracircce agrave la
Vulneacuterabiliteacute (cf(ex4) section Exemple de motivation chapitre Probleacutematique et motiva-
tions)
64 Expeacuterimentation
Nous avons effectueacute diffeacuterentes expeacuterimentations pour valider notre approche En raison drsquoun
manque de donneacutees de sceacutenarios reacuteels nous avons drsquoabord simuleacute des requecirctes drsquoaccegraves et nous
avons calculeacute la valeur du risque de chacune de ces requecirctes pour voir lrsquoinfluence de notre approche
sur un systegraveme de controcircle drsquoaccegraves existant
641 Impleacutementation
Tout drsquoabord nous geacuteneacuterons un ensemble de politiques de controcircle drsquoaccegraves pour cinquante utili-
sateurs diffeacuterents sur cinquante ressources diffeacuterentes Nous avons seacutelectionneacute les trois actions cou-
ramment utiliseacutees agrave savoir ldquoLirerdquo ldquoEacutecrirerdquo et ldquoExeacutecuterrdquo Les trois opeacuterations lire eacutecrire et exeacutecuter
sont geacuteneacutereacutees respectivement avec les proportions suivantes 0703 04 Notez que cette distribu-
tion est agrave lrsquoimage de plusieurs cas drsquousage de notre partenaire Brake France 57 du projet OpenPaaS
RSE
Deuxiegravemement nous deacutefinissons six meacutethodes drsquoauthentification diffeacuterentes Ensuite tel que
deacutefini dans Deacutefinition 2 nous attribuons un niveau de vulneacuterabiliteacute agrave chacune drsquoelles Nous illustrons
dans le tableau 61 ces diffeacuterentes meacutethodes et leurs valeurs de vulneacuterabiliteacute respectives Nous avons
consideacutereacute que derriegravere chaque requecircte entrante il y une identiteacute drsquoun acteur approuveacutee par lrsquoun de
ces meacutecanismes drsquoauthentification Nous convenons que lrsquoattribution drsquoun niveau 0 de vulneacuterabiliteacute
agrave une authentification biomeacutetrique est controverseacutee 58 mais nous avons fait cela uniquement dans
le but drsquoillustrer le comportement de notre meacutetrique drsquoeacutevaluation du risque dans le cadre de nos
expeacuterimentations
Enfin nous geacuteneacuterons aleacuteatoirement 1500 requecirctes de demande drsquoaccegraves diffeacuterentes Chaque re-
quecircte correspond agrave un tuple de 4 attributs agrave savoir utilisateur ressource action meacutethode drsquoau-
thentification Essentiellement nous nous sommes baseacutes sur quatre sceacutenarios 10 de rejets baseacutes
sur les politiques (fig 62) 15 (figure 63) 20 (figure 64) et 25 (figure 65) Cela nous
permet de comparer le comportement de notre systegraveme de gestion du risque et son influence sur les
57 Brake France est une chaine de distribution de produits alimentaires qui a pour rocircle dans le projet de tester laplateforme du reacuteseau social
58 httpwwwnet-securityorgsecworldphpid=8922
121
Chapitre 6 Gestion du risque
TABLE 61 ndash Meacutethodes drsquoauthentification et leurs niveaux de vulneacuterabiliteacute
Nom Description VulneacuterabiliteacuteNone Not authenticated user 10PIN Pin Code 08L+P Login and Password 06OAuth OAuth service 042F Two factors 02Bio Biometric 00
deacutecisions du meacutecanisme de controcircle drsquoaccegraves dans diffeacuterents sceacutenarios De plus pour chacun de ces
sceacutenarios nous avons calculeacute le risque avec deux pondeacuterations agrave savoir avec une pondeacuteration de
111 (sur la gauche de chaque diagramme) et avec une pondeacuteration de 311 (sur la droite)
pour respectivement lrsquoimpact la vulneacuterabiliteacute et la menace La deuxiegraveme pondeacuteration permet drsquoatteacute-
nuer lrsquoeffet de notre geacuteneacuteration aleacuteatoire car elle met lrsquoaccent sur la valeur de lrsquoimpact (qui deacutepend
des politiques)
Ainsi pour chaque requecircte nous avons une valeur de menace donneacutee une valeur de vulneacuterabiliteacute
donneacutee et une valeur drsquoimpact (calculeacutee agrave base des politiques geacuteneacutereacutees) Nous supposons que chaque
demande est drsquoabord eacutevalueacutee par la politique de controcircle drsquoaccegraves pour voir si elle doit ecirctre accepteacutee
ou pas Ensuite nous proceacutedons agrave la deuxiegraveme phase de deacutecision baseacutee sur lrsquoeacutevaluation du risque de
la requecircte en question qui est compareacute au seuil de toleacuterance de lrsquoentreprise Dans ce qui suit nous
deacutecrivons les reacutesultats obtenus
642 Reacutesultats
Nous voulons eacutevaluer lrsquoinfluence de notre systegraveme sur une politique de controcircle drsquoaccegraves existante
Ainsi lrsquoideacutee est de voir le taux additionnel de requecirctes qui seront rejeteacutees par la valeur du risque
compareacutee au seuil Pour cela nous avons fait des tests par rapport agrave diffeacuterents seuils de risque Par
ailleurs une autre information inteacuteressante est la coheacuterence des risque-rejets Plus preacuteciseacutement nous
allons observer le taux de requecirctes qui seront rejeteacutees par la politique et le seuil de risque
Les reacutesultats de notre simulation sont preacutesenteacutes sous forme de barres empileacutees et ce par rapport
agrave diffeacuterents seuils allant de 04 agrave 09 Les figures doivent ecirctre lues de la sorte
bull Gris clair (la partie infeacuterieure de chaque barre) la proportion des requecirctes rejeteacutees agrave base
des politiques ie Polic y = Re ject Risk = Acceptbull Gris fonceacute (la partie intermeacutediaire de chaque barre) la proportion des rejets coheacuterents
entre les requecirctes rejeteacutees par la politique et celles par le seuil du risque ie Polic y =Re ject Risk = Re ject
bull Gris normal (la partie supeacuterieure de chaque barre) la proportion des requecirctes rejeteacutees agrave
cause du seuil du risque ie Polic y = Accept Risk = Re jectDans la figure 62 ougrave le taux de rejet par les politiques est de 10 lrsquoinfluence du seuil de risque
122
64 Expeacuterimentation
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
FIGURE 62 ndash Le ratio des requecirctes rejeteacutees par rapport agrave diffeacuterents seuils de risque pour une basede 10 de rejet par les politiques de controcircle drsquoaccegraves
est significative seulement pour un seuil consideacuterablement bas agrave savoir 40 de rejets pour un seuil
de 04 Cependant avec un seuil plus eacuteleveacute le meacutecanisme drsquoeacutevaluation du risque ne rejette plus
beaucoup de requecirctes Le second sceacutenario avec une pondeacuteration focaliseacutee sur lrsquoimpact fait eacutegalement
ressortir cette observation Nous constatons en outre que la pondeacuteration reacuteduit significativement le
taux de rejets par rapport au sceacutenario non pondeacutereacute seulement 7 pour le seuil de 04
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
FIGURE 63 ndash Le ratio des requecirctes rejeteacutees par rapport agrave diffeacuterents seuils de risque pour une basede 15 de rejet par les politiques de controcircle drsquoaccegraves
Dans la figure 63 le taux de rejet par les politiques est de 15 Compareacute au sceacutenario preacuteceacutedent
lrsquoinfluence du risque est plus importante agrave peu pregraves 45 des requecirctes rejeteacutees par le seuil 04 De
plus plus le seuil du risque monte plus de requecirctes sont rejeteacutees Concernant la coheacuterence elle
est eacutegalement plus importante que dans le sceacutenario preacuteceacutedent Nous remarquons par ailleurs que
la deuxiegraveme pondeacuteration reacuteduit le taux global de rejet de requecirctes par le meacutecanisme du risque en
plus elle donne davantage de coheacuterence entre les taux de rejet politiques-risque que dans la figure
Fig 62
Dans la figure 64 le taux de refus de requecirctes srsquoeacutelegraveve agrave 20 Dans cette configuration lrsquoinfluence
du risque srsquoamplifie par rapport aux preacuteceacutedentes configurations (Fig 62 et Fig 63) environ 50 de
123
Chapitre 6 Gestion du risque
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
FIGURE 64 ndash Le ratio des requecirctes rejeteacutees par rapport agrave diffeacuterents seuils de risque pour une basede 20 de rejet par les politiques de controcircle drsquoaccegraves
requecirctes non-valideacutees par le seuil 04 de risque De plus nous remarquons que lrsquoinfluence du risque
srsquoeacutetale jusqursquoau seuil 07 et ce avec les deux pondeacuterations Par ailleurs la coheacuterence est plus impor-
tante que preacuteceacutedemment Cela est encore plus flagrant dans le sceacutenario pondeacutereacute ougrave nous remarquons
que les deacutecisions baseacutees sur les politiques et celles sur le risque sont davantage coheacuterentes
Pour terminer la figure 65 illustre le cas ougrave 25 des requecirctes sont rejeteacutees par les politiques de
controcircle drsquoaccegraves Cette figure montre en outre le taux de refus le plus eacuteleveacute (environ 52) parmi les
4 configurations Nous constatons toujours que drsquoune part lrsquoeffet du risque continue agrave augmenter
et ce mecircme pour des seuils eacuteleveacutes et drsquoautre part la coheacuterence est globalement en augmentation
Cependant contrairement aux sceacutenarios preacuteceacutedents dans la figure 65 le meacutecanisme du risque conti-
nue agrave rejeter des requecirctes mecircme avec un seuil de 08 Par ailleurs agrave lrsquoimage de la figure 64 avec
la pondeacuteration de lrsquoimpact la figure 65 montre eacutegalement plus de coheacuterence entre les deacutecisions
politiques-risque
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
000
1000
2000
3000
4000
5000
6000
04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects
FIGURE 65 ndash Le ratio des requecirctes rejeteacutees par rapport agrave diffeacuterents seuils de risque pour une basede 25 de rejet par les politiques de controcircle drsquoaccegraves
124
64 Expeacuterimentation
643 Discussion
Notre analyse des reacutesultats agrave travers les diffeacuterentes figures preacuteceacutedentes nous a permis de tirer les
conclusions suivantes
bull Moins le taux de rejets par les politiques est important moins le risque sera influent Ainsi
pour les systegravemes ougrave il est connu agrave lrsquoavance que le taux de requecirctes qui seront rejeteacutees par les
politiques de controcircle drsquoaccegraves sera faible le meacutecanisme de risque nrsquoapportera pas une grande
influence En revanche pour les environnements ouverts tels que les reacuteseaux sociaux ougrave le
nombre de requecirctes rejeteacutees est souvent susceptible drsquoecirctre consideacuterablement eacuteleveacute lrsquoinfluence
du meacutecanisme drsquoeacutevaluation de risque est bien plus preacutesente ie globalement il y a plus
de requecirctes rejeteacutees agrave cause du risque qursquoelles repreacutesentent et ce mecircme pour des seuils de
risque eacuteleveacutes Cela srsquoexplique par la consideacuteration de lrsquoimportance (sensibiliteacute) des ressources
collaboratives Car plus une ressource est confidentielle moins drsquoacteurs seront autoriseacutes agrave y
acceacuteder et par conseacutequent plus de requecirctes seront rejeteacutees agrave son eacutegard
bull Lrsquoobservation preacuteceacutedente est accentueacutee avec la pondeacuteration qui donne plus drsquoimportance agrave la
valeur de lrsquoimpact des ressources par rapport aux reste des paramegravetres agrave savoir la menace
et la vulneacuterabiliteacute Car nous avons remarqueacute que lrsquoaugmentation des rejets dus au risque est
plus importante dans les systegravemes ougrave le taux de rejets par les politiques est plus eacuteleveacute Par
ailleurs la pondeacuteration ameacuteliore eacutegalement la coheacuterence entre les deacutecisions politiques-risque
Cela signifie que dans la formule pondeacutereacutee les deacutecisions baseacutees sur le risque sont conformes
agrave celles prises agrave base des politiques
Ces observations nous conduisent agrave conclure que notre systegraveme se comporte comme espeacutereacute Le
risque srsquoadapte bien au comportement du systegraveme baseacute sur politiques de controcircle drsquoaccegraves deacutefinies
par les acteurs de la communauteacute En drsquoautres termes il est plus prudent pour une entreprise drsquoecirctre
davantage sur ses gardes dans des environnements ougrave il est assez freacutequent que des acteurs externes
tentent des accegraves illeacutegaux aux ressources partageacutees
De plus lrsquoinfluence globale de lrsquointroduction de la meacutetrique de risque semble correcte tant que
les seuils du risque restent raisonnables Par cela nous voulons dire que notre systegraveme ne va pas
brusquement rejeter une grande quantiteacute de requecirctes Cela semble coheacuterent avec le cas reacuteel ougrave
en geacuteneacuteral une organisation fait confiance agrave ses utilisateurs pour lrsquoeacutetablissement des politiques de
partage de ressources collaboratives et nrsquointervient seulement que dans les cas les plus critiques ie
deacutetection de menaces importantes
Pour conclure les expeacuterimentations avec la formule pondeacutereacutee de risque montre la coheacuterence de la
meacutetrique de risque que nous avons deacutefinie avec nos objectifs de seacutecuriteacute La coheacuterence des deacutecisions agrave
base du risque augmente par rapport aux deacutecisions agrave base de politique drsquoune maniegravere proportionnelle
agrave la pondeacuteration qui a pour objectif lrsquoatteacutenuation des paramegravetres aleacuteatoires des politiques produites
pour nos expeacuterimentations
125
Chapitre 6 Gestion du risque
65 Conclusion
Dans ce chapitre nous avons proposeacute une meacutetrique de risque destineacutee agrave ameacuteliorer les perfor-
mances en matiegravere drsquoefficaciteacute de filtrage de requecirctes malveillantes des meacutecanismes classiques de
controcircle drsquoaccegraves
Cette meacutetrique drsquoeacutevaluation du risque peut en effet ecirctre utiliseacutee par dessus de nrsquoimporte quel autre
meacutecanisme de controcircle drsquoaccegraves Notre approche est adapteacute aux environnements RSE car elle permet
aux entreprises de deacuteleacuteguer la deacutefinition des politiques de controcircle drsquoaccegraves agrave ces utilisateurs (user-
centric approach) tout en gardant le controcircle sur ces derniegraveres drsquoune maniegravere efficace dynamique et
abstraite
En se basant sur les meacutethodologies standards de la gestion du risque nous avons deacutefini notre
approche sur la base de trois paramegravetres qui tiennent compte des aspects suivants lrsquoimpact de la
ressource demandeacutee la menace de la requecircte reccedilue et la vulneacuterabiliteacute de lrsquoenvironnement collaboratif
en question Ajoutant agrave cela un seuil et permet lrsquoentreprise qui heacuteberge la ressource demandeacutee de
rejeter certaines requecirctes jugeacutees de sources malveillantes
Nous avons deacutefini de maniegravere formelle les deux paramegravetres neacutecessaires agrave notre gestion du risque
agrave savoir lrsquoimpact et la vulneacuterabiliteacute Le premier reflegravete lrsquoimportance de la ressource agrave travers le nombre
drsquoautorisations impliquant les acteurs et les actions Le second paramegravetre est subjectif et permet de
classifier les meacutecanismes drsquoauthentification par ordre de fiabiliteacute afin drsquoestimer les vulneacuterabiliteacutes de
lrsquoenvironnement collaboratif Le dernier paramegravetre dans notre meacutetrique drsquoeacutevaluation du risque est la
menace que reflegravete la requecircte reccedilue Lrsquoeacutevaluation de cette menace est baseacutee sur la confiance du sujet
de la requecircte Par conseacutequent la question qui reste agrave eacuteclaircir concerne la maniegravere dont sera eacutevalueacutee
cette confiance Crsquoest sur cette question que nous avons travailleacute dans le cadre du chapitre suivant
agrave savoir Confiance numeacuterique
126
Chapitre 7
Confiance numeacuterique
Sommaire
71 Introduction 125
72 Contexte 125
73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation 126
731 Preacutesentation formelle du meacutecanisme drsquoeacutevaluation de confiance 127
732 Illustration 130
74 Eacutetude expeacuterimentale 130
741 Discussion 131
75 Conclusion 133
71 Introduction
Dans ce chapitre nous allons deacutetailler notre approche dynamique drsquoeacutevaluation de la reacuteputation et
la confiance numeacuterique des sujets de collaboration au sein des communauteacutes RSE En premier lieu
nous allons introduire le contexte avec quelques deacutefinitions permettant drsquoeacutelucider certaines notions et
termes utiliseacutes dans le cadre de ce chapitre Ensuite nous preacutesenterons nos algorithmes drsquoeacutevaluation
de la reacuteputation et de la confiance Avant de conclure nous illustrons lrsquoefficaciteacute de nos proceacutedures
drsquoeacutevaluation de la reacuteputation et de la confiance agrave travers une eacutetude expeacuterimentale dans laquelle nous
observons lrsquoeacutevolution de la reacuteputation et de la confiance par rapport aux comportements de sujets
sur une succession de sessions collaboratives dans une communauteacute de collaboration
72 Contexte
ldquoLa confiance pense-t-on ne va pas sans conditions On ne peut lrsquoaccorder agrave nrsquoimporte qui les yeux
fermeacutes ni reacuteclamer drsquoautrui qursquoil nous lrsquoaccorde aveugleacutement sans la deacutegrader en simple creacuteduliteacute
Il faut pour cela donner certains gages le teacutemoignage drsquoactes anteacuterieurs et une certaine qualiteacute de
lrsquoattitude preacutesente qui laisse agrave penser que les actes futurs seront de lrsquoeacutetoffe des preacuteceacutedentsrdquo Crsquoest de ces
127
Chapitre 7 Confiance numeacuterique
mots utiliseacutes par Gildas Richard pour donner une deacutefinition philosophique [163] de la confiance que
notre vision de la confiance srsquoinspire En effet cette deacutefinition met en eacutevidence le lien indivisible et
mutuel entre le comportement et la confiance ainsi nous pourrons qualifier la confiance comme eacutetant
une conseacutequence comportementale Par conseacutequent trois mots cleacutes permettent de cerner la question
de confiance agrave savoir le passeacute le preacutesent et le futur
Dans le domaine informatique en geacuteneacuteral et celui de la seacutecuriteacute collaborative en particulier plu-
sieurs chercheurs se sont poseacutes la question sur la maniegravere avec laquelle il est possible de modeacuteliser la
confiance numeacuterique afin qursquoelle soit avantageuse pour la qualiteacute de la collaboration [33 81 12 190
104 188] Dans ce contexte il est difficile de ne pas remarquer lrsquoomnipreacutesence du terme ldquoreacuteputationrdquo
qui peut ecirctre drsquoune vision geacuteneacuterale consideacutereacute comme un synonyme de la confiance Neacuteanmoins bien
que eacutetroitement lieacutees et parfois confondues les notions de reacuteputation et de confiance manifestent
certaines diffeacuterences fondamentales et ce notamment quand il srsquoagit de seacutecuriteacute informatique dans
les environnements collaboratifs
bull Reacuteputation une mesure reacuteeacutevalueacutee en continue au moyen drsquoun processus de supervision sur
la base drsquoune ligne historique comportementale drsquoun sujet collaboratif
bull Confiance notion plus abstraite qui permet de cateacutegoriser (ie discreacutetionner) la valeur de la
reacuteputation Peut ecirctre utiliseacutee comme un indice de confiance sur lequel des eacutevaluations ainsi
que des eacuteventualiteacutes peuvent ecirctre fondeacutees entre sujetsystegraveme vis-agrave-vis drsquoun autre sujet
73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la
reacuteputation
Lrsquoeacutevaluation de la confiance drsquoun sujet dans notre meacutecanisme est baseacutee sur sa reacuteputation Cette
derniegravere est mesureacutee agrave partir des donneacutees historiques collecteacutees au cours de ses sessions collabora-
tives acheveacutees Une session est deacutefinie par un intervalle de temps durant lequel les interactions des
utilisateurs auront lieu et leurs meacutetadonneacutees comme le nombre de tentative drsquoaccegraves les ressources
utiliseacutees les permissions deacutefinies etc sont enregistreacutees sous forme de fichiers Logs
Lrsquoideacutee globale de notre meacutecanisme drsquoeacutevaluation de confiance est la suivante Pour chaque sujet
un indice de confiance est calculeacute agrave la fin de chaque session Ainsi nous suivrons lrsquoeacutevolution de cet
indice de confiance par rapport aux sessions preacuteceacutedentes Puis sur la base de cette eacutevolution nous
deacuteterminons la maniegravere dont sera eacutevalueacute le comportement du sujet au cours de sa prochaine session
Nous consideacuterons le comportement drsquoun sujet dans une communauteacute par rapport agrave ses demandes
(requecirctes) drsquoaccegraves Plus preacuteciseacutement drsquoun point de vue de seacutecuriteacute nous nous inteacuteressons aux re-
quecirctes rejeteacutees par le meacutecanisme de controcircle drsquoaccegraves que nous consideacuterons comme des tentatives
drsquoaccegraves illeacutegales aux ressources collaboratives
Nous supposons que les requecirctes de demande drsquoaccegraves de chaque sujet avec les deacutecisions corres-
pondantes sont collecteacutees agreacutegeacutees et enregistreacutees dans un fichier Log du sujet qui sera enregistreacute
dans la base drsquoinformations de la communauteacute en question
Drsquoun point de vue plus technique notre meacutecanisme drsquoeacutevaluation de la confiance est baseacute sur
128
73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation
la proceacutedure suivante Pour un sujet donneacute eg James le service CTS calcule agrave la fin de chaque
session collaborative la reacuteputation courante de James par rapport agrave son dernier facteur de peacutenaliteacute et
le nombre de requecirctes illeacutegales deacutetecteacutees Ensuite le CTS mesure lrsquoeacutevolution du score de la reacuteputation
courante de James avec celui de sa reacuteputation passeacutee Le score de reacuteputation passeacutee (ou initiale) est
calculeacute sur la base de la moyenne des scores de reacuteputations de toutes ses sessions acheveacutees Sur la
base de cette eacutevolution le CTS met agrave jour (au niveau du CIS) le facteur de peacutenaliteacute et ainsi lrsquoindice
de confiance du sujet James
Lrsquoindice de confiance est en effet calculeacute sur la base drsquoun facteur de peacutenaliteacute Ce dernier srsquoapplique
sur le nombre de requecirctes rejeteacutees de James pour le peacutenaliser Ainsi la reacuteputation courante est cal-
culeacutee agrave partir du dernier indice de confiance obtenu (ie mis agrave jour lors de la derniegravere session) et le
nombre de tentatives drsquoaccegraves non autoriseacutees collecteacutees au courant de la session courante
Par conseacutequent le score de reacuteputation est dynamique et change au cours des sessions Ce chan-
gement est ducirc en premier lieu aux variations des changements comportementaux refleacuteteacutees par le
nombre de requecirctes non autoriseacutees eacutetablies par le sujet en question En second lieu cela est ducirc aux
changements de lrsquoindice de confiance qui peut changer en fonction de lrsquoeacutevolution (ou la deacutegradation)
des scores de reacuteputation du sujet en question
731 Preacutesentation formelle du meacutecanisme drsquoeacutevaluation de confiance
Dans notre contexte nous consideacuterons que la reacuteputation drsquoun sujet diminue etou augmente agrave un
taux proportionnel au nombre de ses actions illeacutegales agrave savoir le nombre de demandes refuseacutees Par
conseacutequent une interception rapide drsquoun comportement suspect drsquoun sujet est neacutecessaire pour qursquoelle
soit prise en compte dans le processus de controcircle drsquoaccegraves Crsquoest pourquoi nous formalisons notre
systegraveme drsquoeacutevaluation de la reacuteputation t r avec une fonction exponentielle [190] qui prend comme
paramegravetres par rapport agrave un sujet S
bull le nombre de demandes refuseacutees nbDeny collecteacutees agrave la fin de la session courante
bull le dernier facteur de peacutenaliteacute ρ
Lrsquoalgorithme 1 deacutecrit notre fonction drsquoeacutevaluation de la reacuteputation drsquoun sujet
Algorithm 1 Eacutevaluation de la reacuteputation1 function ReputationComputing(S ρ nbDeny)2 t r = exp (minusρ lowast nbDeny)3 retourner t r 4 fin function
La confiance (ie indice de confiance) peut ecirctre calculeacutee sur la base du dernier facteur de peacutenaliteacute
obtenu En effet la confiance est lrsquoinverse du facteur de peacutenaliteacute Lrsquoalgorithme 2 illustre la fonction
de calcul de la confiance Trust Level
129
Chapitre 7 Confiance numeacuterique
Algorithm 2 Eacutevaluation de la confiance1 function TrustComputing(S ρ)2 Trust Level = 1minusρ3 retourner Trust Level 4 fin function
Dans le cadre de notre eacutevaluation dynamique du comportement drsquoun sujet de collaboration lrsquoin-
dice de confiance est en effet un ensemble drsquoeacutetiquettes permettant de deacutecrire le niveau de confiance
qursquoaccorde le systegraveme agrave un sujet [12] En effet il srsquoagit drsquoun ensemble de valeurs discregravetes permettant
de speacutecifier les cateacutegories de confiance qui peuvent ecirctre attribueacutees aux sujets de la communauteacute Par
exemple tregraves fiable fiable normal non-fiable suspicieux Agrave chaque eacutetiquette de lrsquoensemble corres-
pond une valeur reacuteelle
La valeur du facteur de peacutenaliteacute ρ peut changer agrave la fin de chaque session Ces variations (aug-
mentationdiminution) de ρ obligeront un sujet agrave precircter attention agrave son comportement En effet le
comportement drsquoun sujet a un impact direct sur lrsquoeacutevolution de ρ Tant que le sujet ne cherche pas agrave
acceacuteder agrave des ressources non autoriseacutees le ρ appliqueacute restera faible
Pour calculer le ρ qui sera appliqueacute pour la prochaine session drsquoun sujet nous devons drsquoabord
calculer le score initial de sa reacuteputation t r0 et ce sur la base des scores obtenus dans ses sessions
passeacutees (ie historiques de collaboration) stockeacutes au niveau du CIS Ensuite nous avons besoin de
mesurer le taux drsquoeacutevolution λ entre le score de reacuteputation initial et le score de reacuteputation t r courant
ie calculeacute agrave la fin de la derniegravere session acheveacutee Plus preacuteciseacutement supposons que n est le nombre
de sessions de collaboration du sujet Pour calculer t r0 le CTS calcule la moyenne des scores des
reacuteputations obtenus au courant des n minus 1 sessions consommeacutees par le sujet Cependant dans le
calcul de moyenne le CTS donne plus drsquoimportance (pondeacuteration par 2) agrave la derniegravere expeacuterience
(ie session n minus 1) par rapport agrave celles qui restent (1n minus 2)
Ensuite pour calculer la taux drsquoeacutevolution λ de la reacuteputation le CTS mesure le taux de variation
entre la reacuteputation initiale t r0 et la reacuteputation courante t r en utilisant une fonction exponentielle
deacutecroissancecroissance Ainsi si t r est plus eacuteleveacute que t r0 alors λ sera une valeur positive sinon λ
sera une valeur neacutegative Par conseacutequent si lrsquoeacutevolution est positive (λgt 0) elle va reacuteduire le facteur
de peacutenaliteacute ρ Inversement si lrsquoeacutevolution est neacutegative (λlt 0) ρ sera aggraveacute (ie augmentation du
facteur de peacutenaliteacute)
Dans le but de se rapprocher de cas reacuteels il est logique que les variations dans la seacuteveacuteriteacute de
peacutenalisation ne soit pas la mecircme pour un sujet loyal et un sujet malhonnecircte Plus preacuteciseacutement lrsquoindice
de confiance drsquoun sujet malhonnecircte ne doit pas eacutevoluer (baissant la seacuteveacuteriteacute de peacutenalisation) dans
la mecircme proportion qursquoun sujet loyal Inversement un sujet loyal doit ecirctre sanctionneacute avec plus de
seacuteveacuteriteacute qursquoun sujet deacutejagrave suspect En effet un sujet loyal qui change brusquement son comportement
peut ecirctre un pirate par conseacutequent la sanction doit ecirctre seacutevegravere afin de reacuteagir rapidement et proteacuteger
les ressources collaboratives
Cela signifie que la cateacutegorie de la confiance du sujet [12] interpreacuteteacutee par sa derniegravere valeur du
facteur de peacutenaliteacute est directement impliqueacutee dans lrsquoeacutevolution de ρ Par conseacutequent nous pondeacute-
130
73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation
rons le λ obtenu avec le niveau de confiance du sujet (ie 1minusρ) En outre nous avons aussi besoin
drsquoadoucir lrsquoeacuteventuel changement brusque et eacuteleveacute de λ donc nous divisons le reacutesultat obtenu par le
facteur de seacuteveacuteriteacute de la communauteacute ς Ce dernier est un paramegravetre subjectif deacutefini par lrsquoadministra-
teur de la communauteacute Plus ce paramegravetre est eacuteleveacute plus il sera difficile pour les sujets de diminuer
leurs ρ respectifs
Algorithm 3 Taux drsquoeacutevolution du facteur de peacutenaliteacute1 function TrEvolFact(S t r0 t r ς ρ)2 λ= [(ln(t rt r0)2) lowast (1minusρ)]ς 3 retourner λ 4 fin function
Le calcul du nouveau ρ est baseacute sur le reacutesultat du dernier taux drsquoeacutevolution λ Pour cela agrave lrsquoimage
de la reacuteputation et la confiance nous avons deux sortes de facteurs de peacutenaliteacute un discret ρ et
lrsquoautre continu Ce dernier () est utiliseacute pour analyser les changements en continu du compor-
tement drsquoun sujet Tandis que ρ est directement appliqueacute pour sanctionner les eacuteventuelles actions
illeacutegales du sujet Ainsi nous calculons le facteur de peacutenaliteacute ρ comme suit Tout drsquoabord nous
soustrayons le taux drsquoeacutevolution courant λ du dernier facteur de peacutenaliteacute continue Ensuite nous
proceacutedons agrave la discreacutetisation du obtenu par rapport agrave lrsquointervalle discret DiscP[ ] En outre apregraves
un comportement suspicieux plus les valeurs discregravetes sont proches moins la cateacutegorie de confiance
descend
Algorithm 4 Calcul du facteur de peacutenaliteacute1 function penaltyFactor(S ρ λ)2 = minusλ 3 ρ = PenaltyDiscritization( DiscP[ ]) 4 retourner ρ 5 fin function
Avec notre fonction qui calcule λ les valeurs discregravetes de lrsquoensemble DiscP[ ] doivent toujours
ecirctre isin]0 1[ parce que si ρ est eacutegal agrave 0 alors aucune peacutenaliteacute ne sera appliqueacutee dans la communauteacute
Toutefois si ρ est eacutegal agrave 1 le taux drsquoeacutevolution λ converge vers la valeur 0 Crsquoest pourquoi il est
recommandeacute drsquoutiliser lrsquointervalle reacuteel DiscP [ ] sube ]0 1[ sauf dans le but de deacutesactiver le meacutecanisme
drsquoeacutevaluation de confiance
La proceacutedure de discreacutetisation est utiliseacutee pour empecirccher un sujet de changer immeacutediatement
son facteur de peacutenaliteacute apregraves une session de collaboration Nous utilisons pour cette proceacutedure un
algorithme de recherche dichotomique pour trouver la valeur discregravete la plus proche du ρ dans
lrsquointervalle discret Quand la valeur deacutepasse la borne supeacuterieure ou infeacuterieure de lrsquoensemble discret
la valeur de ρ est reacuteduite aux valeurs infeacuterieures etou supeacuterieures de DiscP[ ] respectivement La
discreacutetisation permet par ailleurs drsquoaligner tous les sujets de la communauteacute sur les mecircmes facteurs
de peacutenalisation
131
Chapitre 7 Confiance numeacuterique
01 02
03 04
05 06
07 08
09 0 2 4 6 8 10 12 14
0 01 02 03 04 05 06 07 08 09
1
Reputation
PenaltyFactor
NbDeny
Reputation
0 01 02 03 04 05 06 07 08 09 1
FIGURE 71 ndash Fonction drsquoeacutevaluation de la confiance
732 Illustration
Agrave titre drsquoexemple nous utilisons lrsquoensemble discret suivant DiscP[ ] = 005 01 05 09Cet ensemble peut ecirctre interpreacuteteacute avec les eacutetiquettes suivantes tregraves fiable fiable non-fiable sus-
picieux En outre nous supposons que le nombre maximum de tentatives drsquoaccegraves refuseacutees est de
maxCommNbDeny = 15 Le reacutesultat de cette configuration de notre approche drsquoeacutevaluation de
confiance est illustreacute dans la figure 71 Comme nous voyons dans le graphique plus le facteur de
peacutenaliteacute ρ augmente plus la valeur de confiance baisse par rapport au nombre des requecirctes non
autoriseacutees
74 Eacutetude expeacuterimentale
Nous avons inteacutegreacute notre meacutecanisme drsquoeacutevaluation de confiance dans la plateforme OpenPaaS
Cependant nous manquons actuellement de reacuteelles traces drsquoexpeacuteriences utilisateurs Par conseacutequent
pour eacutevaluer notre approche de lrsquoeacutevaluation de la confiance nous avons fait quelques tests baseacutes sur
deux expeacuteriences de deux sujets Alice et Oscar Nous avons ensuite simuleacute le comportement de ces
deux sujets de telle sorte qursquoAlice ait un comportement acceptable et stable et que le comportement
drsquoOscar soit instable et parfois suspect
La dureacutee de session pour la collecte des traces des sujets drsquoune communauteacute est un paramegravetre
subjectif drsquoadministration 59 eg chaque heure jour mois trimestre ou plus De plus nous supposons
que le nombre de requecirctes rejeteacutees qui sont collecteacutees agrave la fin de chaque session est significatif et non
corrompu Par exemple si la dureacutee de session est deacutelimiteacutee par heure et qursquoun sujet ne fait aucune
59 Peut ecirctre un paramegravetre de creacuteation de communauteacute
132
74 Eacutetude expeacuterimentale
interaction pendant une ou plusieurs sessions ses traces (tregraves positives) pour cette session ne seront
pas prises en consideacuteration pour lrsquoeacutevaluation de lrsquoeacutevolution de sa reacuteputation Dans le cadre de cette
thegravese nous nrsquoadressons pas cette probleacutematique car cela peut deacutependre de plusieurs paramegravetres
comme le temps passeacute par session la freacutequence drsquointeraction etc Ce point sera mieux traiteacute une fois
que lrsquoon dispose de vraies statistiques drsquoexpeacuterience reacuteelles drsquoutilisateur sur la plate-forme OpenPaaS
Il est de mecircme pour les valeurs initiales des reacuteputations ainsi que le niveau de confiance En effet
nous nous basons sur des valeurs moyennes ie pas tregraves peacutenalisantes ni favorisantes
Pour initialiser les expeacuteriences de nos deux sujets Alice et Oscar nous consideacuterons que leurs
valeurs initiales de confiance sont t r0 = 05 t r = 06 ρ = 01 = 01 Afin de simplifier la com-
preacutehension de notre eacutetude expeacuterimentale nous avons fixeacute le facteur de seacuteveacuteriteacute de la communauteacute
agrave ς = 1 ce qui signifie que lrsquoeacutevolution de lrsquoindice de confiance ρ sera tregraves rapide
Dans les deux figures 73 et 72 le graphe agrave ligne discontinue montre lrsquoeacutevolution du facteur de
peacutenaliteacute ρ tandis que celui agrave ligne continue indique lrsquoeacutevolution de la reacuteputation du sujet
Comme Alice est supposeacutee ecirctre une personne honnecircte nous avons geacuteneacutereacute son comportement au
moyen drsquoune fonction aleacuteatoire de 3 agrave 6 requecirctes rejeteacutees Quant agrave Oscar son comportement est
instable Pour cela nous avons deacutefini plusieurs vecteurs comportementaux pour Oscar
Dans le premier vecteur Oscar a un comportement normal pour un certain nombre de sessions
successives (Normal) Pour la deuxiegraveme peacuteriode Oscar ameacuteliore son comportement redevient exem-
plaire ie nombre neacutegligeable de requecirctes rejeteacutees (Normal2) Cela devrait reacuteduire le facteur de
peacutenaliteacute drsquoOscar Apregraves un comportement suspicieux drsquoOscar est deacutetecteacute sur une suite de sessions
par une freacutequence eacuteleveacutee de requecirctes non-autoriseacutees sur les ressources partageacutees (Mauvais) Enfin
le comportement drsquoOscar revient agrave lrsquoeacutetat normal
Normal 5 10 9 5 8 9 7 8 5 6 8Normal2 4 3 2 5 4 1 4 2 3 5 1 2Bon 4 3 5 2 2 1 1 0 2 1 1Mauvais 10 4 3 2 14 4 1 2 11 3 1 2
TABLE 71 ndash Le comportement drsquoOscar
741 Discussion
La figure 73 illustre les changements comportementaux drsquoOscar agrave travers un certain nombre de
sessions collaboratives Le fragment agrave ligne double deacutesigne la bonne peacuteriode pour Oscar et lrsquoautre
fragment agrave ligne simple deacutesigne la mauvaise peacuteriode
Ainsi notre analyse du graphique est la suivante Avant la bonne peacuteriode ougrave Oscar se comporte
drsquoune maniegravere normale (Normal) sa reacuteputation est plus au moins stable Ensuite durant la bonne
peacuteriode ougrave le comportement drsquoOscar est exemplaire nous remarquons que son facteur de peacutenaliteacute
baisse peacutenalisant avec moins de seacuteveacuteriteacute les mauvaises actions releveacutees et par conseacutequent la reacuteputa-
tion drsquoOscar est ameacutelioreacutee Plus tard quand le systegraveme de supervision deacutetecte qursquoOscar entreprend
soudainement un comportement suspicieux en essayant drsquoacceacuteder avec une freacutequence eacuteleveacutee agrave des
133
Chapitre 7 Confiance numeacuterique
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720
01
02
03
04
05
06
07
08
09
1
Rep
utat
ion
scor
e
Time-line
Penalty factor
Reputation
FIGURE 72 ndash Eacutevolution de la reacuteputation drsquoun sujet agrave comportement stable et honnecircte
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720
01
02
03
04
05
06
07
08
09
1
Rep
utat
ion
scor
e
Time-line
Penalty factor
Reputation
FIGURE 73 ndash Eacutevolution de la reacuteputation drsquoun sujet agrave comportement instable et suspicieux
ressources qui lui sont non autoriseacutees le facteur de peacutenaliteacute augmente consideacuterablement provoquant
ainsi une importante baisse de la reacuteputation drsquoOscar Apregraves la mauvaise peacuteriode Oscar tente de se
racheter et reprend un comportement tregraves honnecircte (normal2) Ce dernier comportement est censeacute
ameacuteliorer la reacuteputation drsquoOscar Cela dit la reacuteputation drsquoOscar nrsquoest pas la mecircme que dans la bonne
peacuteriode (ligne double) drsquoavant la deacutetection du comportement malicieux
De lrsquoautre part la figure 72 montre les variations de la reacuteputation drsquoAlice Comme nous le voyons
le comportement drsquoAlice est stable cela se reflegravete par conseacutequent dans ses valeurs de reacuteputation agrave
travers ses sessions collaboratives
134
75 Conclusion
75 Conclusion
Dans ce chapitre nous avons deacutetailleacute notre approche dynamique drsquoeacutevaluation de la reacuteputation
et de la confiance vis-agrave-vis des sujets de collaboration au sein des communauteacutes OpenPaaS Notre
eacutevaluation de la confiance est baseacutee sur la supervision de lrsquoeacutevolution de la reacuteputation drsquoun sujet au
fil des sessions collaboratives Quant agrave la reacuteputation elle se focalise sur le comportement du sujet en
question en peacutenalisant ses actions collaboratives neacutegatives agrave savoir les requecirctes illeacutegales de demande
drsquoaccegraves aux ressources partageacutees de la communauteacute La peacutenalisation drsquoun sujet est fondeacutee sur son
indice de confiance mis agrave jour agrave la fin de chaque session collaborative et ce en fonction de lrsquoeacutevolution
de la reacuteputation courante du sujet par rapport agrave ses scores de reacuteputation anteacuterieurs
Cette approche contraint les sujets agrave faire attention agrave leurs comportements respectifs au sein des
communauteacutes de collaboration Elle permet en outre drsquoanticiper une usurpation drsquoidentiteacute agrave travers
tout changement comportemental brusque et bloquer ainsi lrsquoaccegraves au sujet en question Le blocage
drsquoaccegraves se fait au moyen du meacutecanisme de gestion du risque (preacutesenteacute dans le chapitre (cf Gestion
du risque) qui inclut cette meacutetrique drsquoeacutevaluation de confiance comme un paramegravetre drsquoestimation
de la menace drsquoune requecircte reccedilue Le meacutecanisme de gestion du risque est le moteur principal des
politiques entreprises destineacutees agrave superviser les politiques de partage de ressources par les sujets
de collaboration Par conseacutequent la confiance devient un paramegravetre cleacute dans notre meacutecanisme de
controcircle drsquoaccegraves OpenPaaS
Notre proposition drsquoun meacutecanisme de seacutecuriteacute des ressources collaboratives inclut tous les com-
posants preacuteceacutedemment deacutetailleacutes agrave savoir le meacutecanisme drsquoauthentification interopeacuterable les poli-
tiques de partage de ressources les politiques entreprises qui incluent la gestion du risque et de la
confiance Ces composants ont eacuteteacute valideacutes et mis en œuvre dans le cadre du projet OpenPaaS RSE
Dans le chapitre suivant nous allons aborder lrsquoaspect technique de notre conception en deacutetaillant la
mise en œuvre diffeacuterents composants logiciels que nous avons inteacutegreacutes dans OpenPaaS RSE agrave savoir
lrsquoauthentification lrsquoautorisation et lrsquoaudit
135
Chapitre 8
Implantation des composantes de
seacutecuriteacute
Sommaire
81 OpenPaaS RSE vue abstraite 135
82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash 136
821 Reacutesumeacute de solution proposeacutee 137
822 Implantation 137
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash 140
831 Reacutesumeacute de la solution proposeacutee 140
832 Implantation 141
84 Audit et gouvernance des ressources collaboratives dans OpenPaaS 147
85 Conclusion 151
Dans ce chapitre nous allons preacutesenter les diffeacuterentes APIs que nous avons deacuteveloppeacutees et in-
teacutegreacutees dans le cadre de la plate-forme OpenPaaS RSE Il srsquoagit de trois composants proposeacutes sous
forme de service web pour la gestion de lrsquoauthentification de lrsquoautorisation et de lrsquoaudit (supervi-
sion) Bien eacutevidemment lrsquoimplantation de ces trois services est inteacutegralement baseacutee sur les concepts
de seacutecuriteacute preacutesenteacutes dans les chapitres preacuteceacutedents
Le chapitre est ainsi organiseacute Drsquoabord nous preacutesentons une vue conceptuelle globale de notre
systegraveme au moyen drsquoun diagramme de classe UML Ensuite nous rappelons briegravevement lrsquoideacutee fon-
datrice de conception de chaque composant suivi de son implantation avec des deacutetails sur lrsquoaspect
technologique de mise en œuvre Enfin nous preacutesenterons les performances pour montrer outre
lrsquoefficaciteacute lrsquooptimaliteacute de notre API de seacutecuriteacute
81 OpenPaaS RSE vue abstraite
Lrsquoarchitecture de la plateforme OpenPaaS vue sous lrsquoangle de seacutecuriteacute est illustreacutee dans la figure
81 Les entiteacutes principales sont le sujet (Member) la communauteacute (Community) et les ressources
137
Chapitre 8 Implantation des composantes de seacutecuriteacute
FIGURE 81 ndash Architecture globale de plateforme de seacutecuriteacute drsquoOpenPaaS
(informations outils logiciel document service web) Nous avons eacutegalement lrsquoentreprise (Organiza-
tion) agrave laquelle appartient un sujet et dans laquelle est deacutefinie son identiteacute En outre nous avons
les permissions sur les ressources partageacutees par un sujet dans une communauteacute ainsi que les deacuteleacute-
gations entre sujets Enfin nous avons la classe History Log dans laquelle est enregistreacute lrsquohistorique
drsquointeractions (les actions les dates etc) drsquoun sujet
82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash
Notre principal objectif dans la gestion des identiteacutes numeacuterique est de permettre agrave chaque en-
treprise de preacuteserver son meacutecanisme drsquoauthentification preacutefeacutereacute et de pouvoir drsquoun cocircteacute veacuterifier lrsquoau-
thenticiteacute drsquoidentiteacute drsquoutilisateurs externes et drsquoun autre cocircteacute permettre agrave ses utilisateurs internes de
pouvoir srsquoauthentifier aupregraves drsquoautres entreprises nrsquoutilisant pas forceacutement le mecircme meacutecanisme drsquoau-
thentification Pour ce faire nous nous sommes baseacutes sur lrsquooutil LemonLDAP-NG (cf section 4232
138
82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash
Chapitre Architecture et gestion des identiteacutes numeacuteriques)
821 Reacutesumeacute de solution proposeacutee
LemonLDAP-NG est installeacute en tant que service web au niveau de chaque entreprise et chaque
communauteacute faisant partie du RSE En effet une forme de feacutedeacuteration qui consiste agrave deacuteleacuteguer la
veacuterification de lrsquoidentiteacute drsquoun acteur au gestionnaire drsquoauthentification de la communauteacute est mise
en place entre ce dernier et ceux des entreprises
Le processus drsquoauthentification se base sur les modules LLdap-NG suivants Le Portail LLdap fait
office de client SSO Le module AuthProxy sert agrave transfeacuterer drsquoun Portail drsquoauthentification agrave un autre
les jetonscertificats drsquoidentiteacute pour veacuterification vis-agrave-vis de la base LDAP distante
Gracircce agrave ces deux composants logiciels le gestionnaire drsquoauthentification drsquoune communauteacute peut
veacuterifier lrsquoauthenticiteacute du certificatjeton drsquoidentiteacute drsquoun acteur donneacute apregraves la reacuteception drsquoune reacuteponse
sous forme de cookie de la part du fournisseur drsquoidentiteacutes de lrsquoentreprise du sujet
Techniquement nous nous sommes baseacutes en premier lieu sur une architecture Credential-based [32]Dans ce type drsquoarchitecture les Credentials sont utiliseacutes par un acteur afin de prouver son identiteacute
aupregraves drsquoun fournisseur de services Cependant nous avons eacutetendu lrsquoarchitecture Credentials-based
avec une interaction entre le fournisseur drsquoidentiteacutes (entreprise) et le fournisseur de services (com-
munauteacute) afin de veacuterifier que lrsquoidentiteacute de lrsquoacteur qui preacutesente les Credentials nrsquoa pas eacuteteacute usurpeacutee
La proceacutedure de veacuterification des Credentials se fait du cocircteacute du fournisseur drsquoidentiteacutes une fois que
ces derniers lui sont transfeacutereacutes par un fournisseur de services Cette proceacutedure de veacuterification de
Credentials est baseacutee sur deux types drsquoidentiteacutes agrave savoir priveacutee (interne) et publique (externe) Une
fois les Credentials veacuterifieacutes et valideacutes le fournisseur drsquoidentiteacutes de lrsquoutilisateur reacutepond au fournisseur
de services par un jeton sous forme de cookie Dans le cas ougrave lrsquoauthentification eacutechoue (utilisateur
non authentifieacute) le cookie sera vide
822 Implantation
Pour tester le prototype nous avons opteacute pour le meacutecanisme drsquoauthentification LoginPassword
avec des comptes utilisateurs preacutedeacutefinis dans LemonLDAP-NG
bull Nous avons commenceacute par installer touts les preacute-requis logiciels neacutecessaires au bon fonction-
nement de LemonLDAP-NG
139
Chapitre 8 Implantation des composantes de seacutecuriteacute
apt-get install apache2 libapache2-mod-perl2 libapache-session-perl libnet-ldap-perl
libcache-cache-perl libdbi-perl perl-modules libwww-perl libcache-cache-perl libxml-
simple-perl libsoap-lite-perl libhtml-template-perl libregexp-assemble-perl libjs-jquery
libxml-libxml-perl libcrypt-rijndael-perl libio-string-perl libxml-libxslt-perl libconfig-
inifiles-perl libjson-perl libstring-random-perl libemail-date-format-perl libmime-lite-perl
libcrypt-openssl-rsa-perl libdigest-hmac-perl libclone-perl libauthen-sasl-perl libnet-cidr-
lite-perl libcrypt-openssl-x509-perl libauthcas-perl libtest-pod-perl libtest-mockobject-perl
libauthen-captcha-perl libnet-openid-consumer-perl libnet-openid-server-perl libunicode-
string-perl libconvert-pem-perl libmouse-perl
bull ensuite nous avons installeacute LemonLDAP-NGhttplemonldap-ngorgdocumentationquickstart
bull enfin nous avons configureacute lrsquoaccegraves SOAP agrave LemonLDAP-NGhttplemonldap-ngorgdocumentationlatestsoapsessionbackend
Le nom de la meacutethode qui nous permet de reacutecupeacuterer le Cookie est getCookies se trouve dans la
classe AuthenticationPortTypeProxy dans le package Lemonldap Nous avons obtenu ce package gracircce
au fichier de description de service portalwsdl fourni par LemonLDAP-NG La meacutethode getCookie
prend en paramegravetres un nom drsquoutilisateur et un mot de passe et si ces paramegravetres sont valides elle
retourne un Cookie non null sinon la valeur du Cookie sera null
Le client REST qui se charge drsquointerroger LemonLDAP-NG et reacutecupeacuterer le Cookie est illustreacute dans
la figure 83 Ce client eacutetablit un appel REST via une requecircte HTTP sur le service drsquoauthentification
AuthenticationService Au niveau du service drsquoauthentification AuthenticationService qui est baseacute sur
le package LemonLDAP-NG nous avons deacutefini la meacutethode authentication illustreacutee dans la figure82
Cette meacutethode permet drsquoeacutetablir une connexion avec LemonLDAP-NG et reacutecupeacuterer la valeur du Co-
okie 60 Cette meacutethode nous lrsquoavons exposeacute pour qursquoelle soit accessible par un appel en GET (REST)
depuis le service drsquoapplication ou celui du controcircle drsquoaccegraves
Deacutependances
La liste des deacutependances neacutecessaires pour lrsquoutilisation de LemonLDAP-NG sous maven est la sui-
vante
mdash apache-jakarta-commons-discovery
mdash axis-client
mdash commons-logging-12
mdash mail-147
mdash wsdl4j-152
mdash javaxmail-152
60 La veacuterification drsquoauthentification de lrsquoutilisateur se fait au niveau du service AuthenticationService gracircce agrave la va-riable booleacuteenne isAuthenticatedUsed par conseacutequent au niveau du client on pourrait reacutecupeacuterer directement la valeur deisAuthenticatedUsed pour veacuterifieacute si lrsquoutilisateur est bien authentifieacute (ou pas) dans le cas ougrave on voudrait pas faire un testsuppleacutementaire
140
82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash
FIGURE 82 ndash Meacutethode de lrsquoauthentification
FIGURE 83 ndash Client authentification
mdash activation-11
mdash javaee-api-70
Afin de faciliter lrsquoinstallation et le test de LemonLDAP-NG des comptes de deacutemonstration on eacuteteacute
mis en place Pour la gestion des comptes utilisateurs une documentation plus deacutetailleacutee expliquant
la proceacutedure agrave suivre sur
httplemonldap-ngorgdocumentationlatestauthdemo
141
Chapitre 8 Implantation des composantes de seacutecuriteacute
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash
Une fois le sujet authentifieacute sa requecircte sera transfeacutereacutee et eacutevalueacutee par le service drsquoautorisation
Le modegravele drsquoautorisation que nous avons proposeacute est fondeacute sur le modegravele ABAC (Attribute Based
Access Control) avec une implantation formelle baseacutee sur la logique temporelle Event-Calculus Nous
utilisons le raisonneur logique DEC-Reasoner 61 pour lrsquoeacutevaluation des patrons de controcircle drsquoaccegraves
que nous geacuteneacuterons automatiquement agrave lrsquoaide drsquoun pilote Java (exposeacute en tant que service Web) La
figure 84 donne un aperccedilu sur le sceacutenario de deacuteroulement du processus de controcircle drsquoaccegraves que nous
avons conccedilu pour OpenPaaS Les diffeacuterentes eacutetapes du sheacutemas seront expliqueacutees dans la sous-section
suivante
FIGURE 84 ndash Architecture globale de service de controcircle drsquoaccegraves drsquoOpenPaaS
831 Reacutesumeacute de la solution proposeacutee
Comme le montre lrsquoarchitecture dans la figure 84 le principal composant est le service web
Community-Decision-Service (CDS) qui interagit avec le conteneur des regravegle politiques et policySets
le Community-Administration-Store (CAdS) Les principales eacutetapes du processus sont
bull Deacutefinir des regravegles politiques et policiesSets ensuite les inseacuterer dans la base de donneacutees Mon-
goDB
bull reacutecupeacuterer la requecircte les regravegles les politiques et le policiesSet depuis la base de donneacutees
MongoDB ensuite les utiliser pour geacuteneacuterer les fichier event-calculus ldquofileerdquo en se basant sur
les patrons Event-Calculus
61 http decreasonersourceforgenet
142
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash
bull transfeacuterer les fichiers ldquofileerdquo au raisonneur logique Dec-Reasoner pour reacutecupeacuterer le reacutesultat
final apregraves le processus du raisonnement
Pour chaque eacutetape du processus nous avons respectivement deacutefini les classes AuthzStore SaaS-
Patterns et SaaSResource
832 Implantation
Dans cette partie nous allons deacutetailler la conception de chacune des classes AuthzStore SaaSPat-
terns et SaaSResource
8321 Authorization store
Path(authzStre) class AuthzStore
Cette partie consiste en la gestion des composants de controcircle drsquoaccegraves agrave savoir les regravegles politiques et
les ensembles de politique (PolicySet) La gestion se fait par la mise agrave jour (ie insertion modification
et suppression) de la base de donneacutees MongoDB en question Nous avons exposeacute toutes les meacutethodes
de gestion de la base donneacutee en REST pour que la mise agrave jour de la base soit plus simple via des
requecirctes JSON 62 depuis un client REST
Insertion
Le modegravele JSON pour lrsquoinsertion de regravegle figure 85
rarrPOST Path(PostPath) public Response insertRule(String msg)
FIGURE 85 ndash Insertion de regravegle
Le modegravele de requecircte JSON pour lrsquoinsertion de politique figure 86
rarrPOST Path(postPolicyPathpolicyName) Response InsertPolicies(String policyAtt)
Reacuteponses possibles
bull http 201 Created si la regravegle est creacuteeacutee
bull http 400 Bad Request si le contenu du POST nrsquoest pas valide
62 http wwwjsonorg
143
Chapitre 8 Implantation des composantes de seacutecuriteacute
FIGURE 86 ndash Insertion de politique
bull http 500 Server Error si une erreur impreacutevue est survenue pendant la creacuteation de la regravegle
Mise agrave jour et suppression
La suppression se fait par une requecircte http contenant lrsquoidentifiant (nom) du composant regraveglepolitique
agrave supprimer
rarrDELETE Path(deleteRulePath||deletePolicyPath ruleName||policyName) Par exemple
http adresseIPSaaSresourcesauthzStredeleteRulePathRules1
La mise agrave jour ce fait eacutegalement via un appel REST avec les mecircmes attributs du POST( figure 85
ou 86)
rarrPUT Path(PutPath||PutPolicyPath ruleName||policyName)
Reacuteponses possibles
bull http 200 OK si la regravegle est mise agrave jour
bull http 400 Bad Request si le contenu du POST nrsquoest pas valide
bull http 404 Not Found si aucune regravegle nrsquoest trouveacutee pour lrsquoID ldquoruleIdrdquo
bull http 500 Server Error si une erreur impreacutevue est survenue pendant la mise agrave jour de la regravegle
Dec-Reasoner
Pour la deacutefinition des composants de controcircle drsquoaccegraves agrave savoir regravegle politique et politcySet nous
avons choisi drsquoutiliser un langage formel baseacute sur la logique temporelle Event-calculusUne documen-
tation complegravete sur le raisonneur que nous avons utiliseacute est dans [146] La proceacutedure drsquoinstallation
(compilation) de Dec-Reasoner est eacutegalement deacutecrite dans le fichier README 63 Dec-Reasoner prend
en entreacutee un fichiere et comme illustreacute dans la figure89 il retourne tous les reacutesultats possibles
du raisonnement sous la forme de modegraveles On utilise un script Python run_DecReasonerpy (figure
87 [198]) en tant qursquointermeacutediaire agrave travers lequel on passe les fichierse au raisonneur pour obtenir
ensuite les reacutesultats du raisonnement geacuteneacutereacutes par ce dernier sous forme de fichierres
Ensuite comme notre service de controcircle drsquoaccegraves est eacutecrit en Java nous avons implanteacute la meacute-
thode DecReasonerInvocation qui eacutetablie la connexion avec le raisonneur en passant par run_DecReasonerpy
La meacutethode DecReasonerInvocation illustreacutee dans la figure 88 prend un seul paramegravetre chemin qui
est le chemin du fichiere agrave passer au raisonneur
63 httpsourceforgenetprojectsdecreasonerfiles
144
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash
FIGURE 87 ndash Script python pour invoquer le raisonneur
FIGURE 88 ndash Meacutethode java pour le deacuteclenchement du raisonnement
Note Dans la logique drsquoexeacutecution du raisonneur Dec-Reasonner si une entreacutee commence par
une minuscule il lrsquoa considegravere comme variable et si elle commence par une majuscule il lrsquoa
considegravere comme une constante (ie valeur de la variable) Par conseacutequent il est impeacuteratif
que toutes les entreacutees dans la base de donneacutees MongoDB commencent par une Majuscule
faute de quoi le reacutesultat fourni par Dec-Reasoner sera faux 145
Chapitre 8 Implantation des composantes de seacutecuriteacute
FIGURE 89 ndash Reacutesultat du raisonnement
Geacuteneacuteration automatique des patrons Event-Calculus
Event-calculus est un langage de preacutedicats et il nrsquoest pas eacutevident pour des utilisateurs non expeacute-
rimenteacutes drsquoeacutecrire des regravegles en langage formel Pour cette raison nous avons creacuteeacute une meacutethode de
geacuteneacuteration automatique de patrons Event-Calculus et nous lrsquoavons inteacutegreacute dans notre service de deacuteci-
sion CDS Comme le montre lrsquoarchitecture globale du service de controcircle drsquoaccegraves figure 84 au niveau
des eacutetapes 22rsquo et 3 nous reacutecupeacuterons les valeurs des attributs des regravegles et les politiques stockeacutes au
niveau de la base de donneacutees et notre service geacutenegravere automatiquement les patrons adeacutequats Les
patrons sont des fichiere et nous avons deux types de patrons
bull Les patrons geacuteneacuteriques et permanents sont immuables et repreacutesentent lrsquoimplantation de
notre modegravele de controcircle drsquoaccegraves il srsquoagit des patrons RulesPatterns PolicyPatterns Poli-
cySetPatterns sort (les variables du modegravele) et ordering (pour la gestion des conflits)
Ces patrons sont eacutecrits en dur et ne doivent pas ecirctre changeacutes
bull Les patrons temporaires et dynamiques sont les patrons que le service geacutenegravere et utilise
pour chaque requecircte Plus de deacutetails sur ce type de patron ci-dessous
Les diffeacuterents patrons temporaires sont (class SaaSPatterns)
bull input contient les informations de la requecircte agrave savoir lrsquoutilisateur la ressource demandeacutee
et lrsquoaction deacutesireacutee
rarr generateInputfile (String user String resource String action String workingDir)
146
83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash
bull rules contient les informations pour chaque regravegle dans la base de regravegles Le service parcourt
la base de regravegles et geacutenegravere pour chaque regravegle son patron
rarr generateRulesPatterns(ArrayListltStringgt rules String rulesWorkingDir)
bull policy contient les informations pour chaque policy dans la base de policies Le service
parcourt la base de policies et geacutenegravere pour chaque policy son patron
rarr generatePoliciesPatterns(String policies String policiesWorkingDir)
bull policySet Le patron final que le service passe au raisonneur Ce patron contient un pointeur
vers tous les autres patrons Event-Calculus preacuteceacutedemment mentionneacutes
rarr generatePolicySetPatterns(St ringpoliciesSet St ringpolicies Arra y List lt St ring gt rules
St ringpoliciesSetWorkingDir St ringrulesWorkingDir St ringpoliciesWorkingDir)
Bien que les meacutethodes de geacuteneacuteration de patrons sont diffeacuterentes le principe est un peu le mecircme
Plus preacuteciseacutement le service interroge la base de donneacutees reacutecupegravere les informations concernant les
diffeacuterents composants de controcircle drsquoaccegraves (la regravegle la politique le policySet et la requecircte) sous forme
de donneacutees en format JSON Ensuite le service de controcircle drsquoaccegraves les parcourt met les valeurs dans
des tableaux dynamiques et enfin utilise les valeurs du tableau pour remplir les parties dynamiques
(variables) dans les patrons preacutedeacutefinis
Une fois que le service de controcircle drsquoaccegraves a creacuteeacute le fichier PolicySete il lrsquoenvoie au raisonneur
via la meacutethode DecReasonerInvocation gtgt run_DecReasonerpy et un fichier PolicySetres est geacuteneacutereacute
en conseacutequence Ce dernier contient le reacutesultat du raisonneur Dec-Reasoner Le service de controcircle
drsquoaccegraves lit le contenu du fichier PolicySetres et reacutecupegravere le reacutesultat du raisonnement sur la requecircte
par rapport aux regravegles de controcircle drsquoaccegraves existantes dans la base MongoDB et retourne le reacutesultat
finale sous forme de boolean Au final le service supprime tout les fichiers temporaires qui ont eacuteteacute
creacuteeacutes pour eacuteviter qursquoils soient reacuteutiliseacutes pour une nouvelle requecircte notamment dans le cas drsquoune mise
agrave jour de la base de regravegles ou politiques avec effet opposeacute agrave celles qui ont eacuteteacute creacuteeacutees
La classe principale qui se charge de la gestion de tout le processus de controcircle drsquoaccegraves est class
SaaSResource gtgt authorizations () Elle est accessible via Path(ldquoauthzrdquo) Par exemple une
requecircte de la part de lrsquoutilisateur ldquoMemberrdquo pour lrsquoaction GET sur la ressource Com1 ressemble a
httpSaaSresourcesauthzsubject=Memberampresource=Com1ampaction=GET
Deacutependances
mdash jython-standalone-252
mdash mongo-java-driver-2123
Eacutevaluation des performances
Pour lrsquoeacutevaluation des performances du temps de traitement pour lrsquoanalyse et la veacuterification des
politiques de seacutecuriteacute au moyen du raisonneur DEC-Reasoner nous avons proceacutedeacute agrave des eacutevaluations
sur un ordinateur portable avec un processeur Intel Core i7-2640M CPU 280GHz 8GB RAM et
systegraveme drsquoexploitation Ubuntu 1404 LTS
147
Chapitre 8 Implantation des composantes de seacutecuriteacute
Pour le raisonnement nous avons utiliseacute la version 10 du Dec-Reasoner avec le solveur SAT
Relsat-202 Avant la phase du raisonnement le Dec-Reasoner se charge drsquoabord de lrsquoencodage des
modegraveles Event-Calculus en un problegraveme SAT Cependant une des principales limites du raisonneur
Dec-Reasoner est le temps utiliseacute pour lrsquoencodage SAT qui pourrait limiter le passage agrave lrsquoeacutechelle [201]En effet le code du Dec-Reasoner a eacuteteacute modifieacute par [203] proposant une modification au processus
drsquoencodage Cette modification a deacuteboucheacute sur une consideacuterable ameacutelioration des performances en
matiegravere du temps drsquoencodage Nous avons utiliseacute la fonction ameacutelioreacutee pour lrsquoencodage SAT pour les
eacutevaluations entreprises dans le cadre de cette thegravese
1005 20 40 60 80
7
0
1
2
3
4
5
6
Number of PoliciesPolicySets
Tim
e (S
econ
ds)
Encoding time (DECReasoner)Solution Computation (Relsat Solver)PolicySets each with 50 Policies and each policy with 50 rulesPolicies each with 50 Rules
FIGURE 810 ndash Reacutesultats drsquoeacutevaluation des performances
En se reacutefeacuterant au cadre principal (ie partage de ressources) de lrsquoexemple de motivation (cf
chapitre Probleacutematique et motivations) nous avons testeacute plusieurs cas afin de mesurer les perfor-
mances de notre approche En premier lieu nous avons augmenteacute le nombre de regravegles politiques et
PolicySets Neacuteanmoins les performances restent acceptables de lrsquoordre de 02 secondes jusqursquoagrave un
peu plus de 250 regraveglespolitiquesPolicySets
Les reacutesultats du raisonnement sont illustreacutes dans la figure 810 Lrsquoaxe Y indique le temps consommeacute
tandis que sur lrsquoaxe X sont afficheacutees les cardinaliteacutes des ensembles politiques et PolicySets Ainsi nous
avons consideacutereacute deux cas Dans le premier cas nous augmentons le nombre de politiques sachant
que chaque chaque politique contient 100 regravegles Les performances sont plutocirct acceptables car pour
180 politiques (180000 regravegles) le temps consommeacute pour lrsquoencodage est 43 secondes et 14 secondes
pour trouver la solution Le second test introduit la notion de PolicySet Ainsi on augmente le nombre
de PolicySets dont chacun compte 50 politiques contenant 50 regravegles Le reacutesultat reste eacutegalement en-
courageant et rassurant par rapport aux performances de notre approche baseacutee sur le raisonneur
Dec-Reasoner Car mecircme avec 90 PolicySet (4500 politiques et 225000 regravegles) le temps de de lrsquoenco-
dage SAT entre 5 agrave 6 secondes Cependant le temps neacutecessaire pour trouver la solution finale reste
moins drsquoune seconde et ce en deacutepit du fait que les expeacuterimentations soient reacutealiseacutees sur une machine
148
84 Audit et gouvernance des ressources collaboratives dans OpenPaaS
personnelle loin drsquoecirctre du mecircme ordre de performances de calcul qursquoun serveur
84 Audit et gouvernance des ressources collaboratives dans Open-
PaaS
Dans cette partie nous proposons une approche de suivi en temps reacuteel du comportement des
utilisateurs dans la plate-forme Nous proposons eacutegalement des mesures de preacutevention face aux
comportements suspicieux des utilisateurs vis-agrave-vis des ressources collaboratives deacuteployeacutees dans une
communauteacute Cette supervision se fait par lrsquoeacutevaluation de la conduite de chaque utilisateur au sein de
sa communauteacute pour eacutevaluer la confiance numeacuterique (trust) Lrsquoeacutevaluation de la confiance entre dans
le cadre de la gestion du risque pour la mise en place des politiques entreprises Dans le cadre de la
gestion du risque le trust est un des paramegravetres qui permettent de deacutecider si un acteur est autoriseacute
(ou pas) agrave acceacuteder agrave une ressource et ce par rapport agrave un seuil de toleacuterance donneacute par lrsquoentreprise
proprieacutetaire de la ressource collaborative
Reacutesumeacute de la solution proposeacutee
Lrsquoanalyse du comportement drsquoun acteur deacutebouche sur la baisse ou lrsquoaugmentation de son trust
Ainsi selon notre point de vue le critegravere le plus approprieacute et efficace dans une plate-forme collabo-
rative telle que OpenPaaS est le nombre de tentatives drsquoaccegraves non-autoriseacutes aux ressources collabo-
ratives En reacutesumeacute afin mesurer la reacuteputation et ainsi le trust drsquoun acteur nous nous inteacuteressons au
nombre de tentatives drsquoaccegraves illeacutegales qursquoil tente
Avant toutes choses nous tenons agrave rappeler que la supervision inclut deux paramegravetres agrave savoir la
reacuteputation et la confiance La reacuteputation est une estimation continue de la qualiteacute du comportement
drsquoun acteur Il srsquoagit drsquoune valeur reacuteelle qui peut changer agrave la fin de chaque session En revanche la
confiance est un paramegravetre agrave valeur discregravete calculeacutee sur la base de lrsquoeacutevolution (positive ou neacutegative)
de la reacuteputation drsquoun acteur La confiance eacutevolue drsquoune maniegravere moins rapide que la reacuteputation
Comme illustreacute dans la figure 811 le module de supervision inteacutegreacute dans le service de controcircle
drsquoaccegraves consulte le service de gouvernance SuprvService Ce dernier reccediloit en entreacutee les informations
concernant les interactions de la session courante du sujet pour reacuteeacutevaluer sa reacuteputation par rapport
agrave un facteur de peacutenaliteacute calculeacute en amont par le mecircme service Ces informations font ensuite lrsquoobjet
de la mise agrave jour de lrsquohistorique drsquoexpeacuterience du sujet dans sa communauteacute
Algorithme
Une vue deacutetailleacutee sur nos proceacutedures de calcul de la reacuteputation ainsi que la confiance est illustreacutee
dans la figure 812 Notre algorithme drsquoestimation de la reacuteputation est baseacute sur la fonction exponen-
tialDecay N(t) = N0eminusλ Cette fonction permet drsquoeacutevaluer lrsquoeacutevolution aussi bien que la deacutegradation
des reacutesultats drsquoun pheacutenomegravene agrave partir drsquoau moins deux eacutechantillons extraits agrave des instants diffeacute-
rents t0tn Lrsquoeacutevolution ou la deacutegradation est deacuteduite agrave partir de la valeur du DecayFactor λ Si
149
Chapitre 8 Implantation des composantes de seacutecuriteacute
FIGURE 811 ndash Architecture du systegraveme de controcircle drsquoaccegraves avec le module de gouvernance
λ gt 0rarr Growth si λ lt 0rarr Deca y
La valeur de λ nous permet de projeter au moyen drsquoune fonction exponentielle le nombre de
requecirctes rejeteacutees (nbDeny) sur la valeur de trust correspondante comme le montre la figure813
Sachant que agrave chaque fin de session le DecayFactor (indice de trust) λ est recalculeacute en fonction de
lrsquoeacutevolution (baisseaugmentation) de la reacuteputation
Implantation
Nous avons implanteacute en Java lrsquoalgorithme drsquoestimation de la reacuteputation ainsi que celui du trust
en Java et nous les avons exposeacutes en tant que service-Web REST Nous utilisons une base de don-
neacutees pour le stockage des informations concernant le profil drsquoun sujet (trust decayFactor historique
etc) Comme le montre la figure 815 la meacutethode qui se charge du calcul de la valeur de trust
trComputing prend en paramegravetre lrsquoidentifiant de lrsquoutilisateur (ldquorequesterrdquo) le nombre de requecircte(s)
non-autoriseacutee(s) ldquonbDenyrdquo et le facteur de seacuteveacuteriteacute de la communauteacute en question Ce dernier facteur
repreacutesente le degreacute de peacutenalisation drsquoun utilisateur ayant deacutepasseacute le nombre de tentatives drsquoaccegraves
maximum (abus) autoriseacutees par la communauteacute en question Ce facteur de seacuteveacuteriteacute est un nombre
reacuteel positif isin [01] plus le nombre se rapproche de zeacutero (plus petit) plus lrsquoutilisateur aura du mal agrave
150
84 Audit et gouvernance des ressources collaboratives dans OpenPaaS
Session collaborative Session collaborative
CTS CTS CTS
GetUpdate
Time-line
+ Nombre de requecirctes illeacutegales + Scores de reacuteputations historiques + Indice de confiance
Valeur de confiance + Reacuteputation
1
2
3
FIGURE 812 ndash Meacutecanisme drsquoeacutevaluation de la reacuteputation et la confiance vue deacutetailleacutee
faire eacutevoluer sa valeur de confiance au sein de la communauteacute en question La meacutethode trComputing
est accessible via une requecircte http du type
httpAuditServiceresourcestrustComputingsubject=MemberampnbDeny=2amp
comSeverity=001
La meacutethode trComputing est baseacutee sur la meacutethode evaluationTrust (figure 816) qui prend en pa-
ramegravetres les mecircmes paramegravetres que trComputing agrave savoir lrsquoidentifiant utilisateur (iduser) le nombre
de refus qursquoil a eu (nbDdeny) et la seacuteveacuteriteacute de la communauteacute dans laquelle il interagit (epsilon)
Lrsquointeraction avec la base de donneacutees utilisateurs mongoDB est geacutereacutee par la classe
Path(trustStre) public class TrustStore
Deacutependances
mdash javaee-api-70
mdash json
mdash mongo-java-driver
mdash activation-11
mdash javaxmail-150
151
Chapitre 8 Implantation des composantes de seacutecuriteacute
0
01
02
03
04
05
06
07
08
09
1
0 1 2 3 4 50
01
02
03
04
05
06
07
08
09
1
0 1 2 3 4 5
0
01
02
03
04
05
06
07
08
09
1
0 1 2 3 4 50
01
02
03
04
05
06
07
08
09
1
0 1 2 3 4 5
ρ = - 005 ρ = - 01
ρ = - 05 ρ = - 1
Tru
st le
vel
Tru s
t le
vel
Tru s
t le
vel
Tru
st le
vel
Nb DenyNb Deny
Nb DenyNb Deny
FIGURE 813 ndash Eacutevolution du trust par rapport au DecayFacor
FIGURE 814 ndash Interruption drsquoune session
FIGURE 815 ndash Calcul du trust
152
85 Conclusion
FIGURE 816 ndash Calcul du trust
85 Conclusion
Dans ce chapitre nous avons abordeacute lrsquoaspect technique de nos propositions des composants de
seacutecuriteacute conccedilu pour OpenPaaS RSE En premier lieu nous avons deacutetailleacute lrsquoimplantation du meacutecanisme
drsquoauthentification interopeacuterable et feacutedeacutereacute baseacute sur LemonLDAP-NG Ensuite nous avons deacutetailleacute le
module de controcircle drsquoaccegraves baseacute sur le modegravele ABAC et la logique temporelle Event-Calculus Ainsi
nous avons implanteacute notre modegravele de seacutecuriteacute sur la base drsquoune architecture XACML et un forma-
lisme logique agrave lrsquoaide de lrsquooutil Dec-Reasoner pour lrsquoanalyse et la veacuterification des regravegles politiques et
PolicySets Enfin nous avons parleacute de la mise en oeuvre du module de supervision et eacutevaluation de
la confiance numeacuterique et la reacuteputation
153
Chapitre 8 Implantation des composantes de seacutecuriteacute
FIGURE 817 ndash Initialisation de la base de donneacutees (mongoDB) des utilisateurs (ajout drsquoutilisateurldquoAhmedrdquo)
154
Chapitre 9
Conclusion et perspectives
Sommaire
91 Synthegravese 153
92 Perspectives 155
91 Synthegravese
Dans cette thegravese nous avons abordeacute le contexte des environnements collaboratifs destineacutes agrave des
plateformes de type reacuteseau social drsquoentreprises Plus preacuteciseacutement nous avons eu pour cadre de nos
travaux de recherche le projet OpenPaaS RSE 64 dans lequel nous avons eacuteteacute chargeacutes de la partie
seacutecurisation des ressources et interactions collaboratives En effet OpenPaaS est une plateforme col-
laborative de type PaaS qui permet agrave diffeacuterentes entreprises de deacuteployer et drsquoutiliser des ressources
logicielles et documentaires Notre travail de gestion de la seacutecuriteacute dans le cadre OpenPaaS couvrent
les aspects Authentification (gestion des identifications) Autorisation (gestion des accreacuteditations) et
Audit (gestion de la reacuteputation et de la confiance) et ce visndashagrave-vis des identiteacutes numeacuteriques qui vont
collaborer
La gestion de lrsquoauthentification des identiteacutes numeacuteriques a eacuteteacute notre premier challenge dans
lrsquoenvironnement OpenPaaS En effet OpenPaaS RSE est baseacute sur la notion de communauteacute qui consiste
en un cercle collaboratif regroupant diffeacuterentes entreprises heacuteteacuterogegravenes en matiegravere de gestion des
identiteacutes numeacuteriques Avec cet aspect drsquoheacuteteacuterogeacuteneacuteiteacute nous avons eu pour objectif drsquoavoir une base
feacutedeacutereacutee de gestion de lrsquoauthentification qui permet agrave chaque partenaire (entreprise) de preacuteserver ses
preacutefeacuterences en matiegravere de protocole de gestion de lrsquoauthentification Pour cela nous nous sommes
baseacutes sur lrsquooutil ldquoLemonLDAP-NGrdquo avec une extension de lrsquoarchitecture de feacutedeacuteration ldquoCredential-
Basedrdquo [32] Ainsi chaque acteur peut rejoindre une communauteacute de collaboration en srsquoauthentifiant
une seule fois (ie authentifiant unique SSO) par le biais du fournisseur drsquoidentiteacute de son entreprise
et avoir par conseacutequent son identiteacute valideacutee aupregraves de toutes les entreprises faisant partie de la
communauteacute en question
64 httpwwwopen-paasorg
155
Chapitre 9 Conclusion et perspectives
Apregraves la gestion des identiteacutes nous nous sommes focaliseacutes sur la partie la plus importante pour
la seacutecurisation des ressources collaboratives dans un environnement ouvert tel qursquoune communauteacute
RSE agrave savoir la gestion des autorisations drsquoaccegraves aux ressources partageacutees Sur cette partie nous
avons eacuteteacute ameneacutes agrave faire face agrave de nombreux deacutefis dus aux proprieacuteteacutes des environnements collabora-
tifs RSE Nous sommes dans un contexte social destineacute agrave rendre plus fluides les eacutechanges collabora-
tifs Ainsi le premier challenge est de preacuteserver cette fluiditeacute drsquoeacutechanges offerte par lrsquoutilisation des
RSEs Cependant il srsquoagit drsquoun environnement heacuteteacuterogegravene en matiegravere de gestion des autorisations
Cela signifie que la seacutemantique de gestion des profils identitaires des acteurs de collaboration en
matiegravere drsquoaccreacuteditations peut diffeacuterer drsquoune entreprise agrave une autre Par conseacutequent le deacutefi eacutetait de
permettre aux entreprises de deacutefinir des permissions de controcircle drsquoaccegraves flexibles vis-agrave-vis drsquoacteurs
externes
Par ailleurs nous avons constateacute le fait qursquoil peut y a voir plusieurs entiteacutes impliqueacutees dans la
gestion drsquoune ressource collaborative (eg des entreprises des acteurs etc) Cela implique la possi-
biliteacute de combiner plusieurs permissions vis-agrave-vis drsquoune mecircme ressource En outre cette combinai-
son neacutecessite une veacuterification des permissions deacutefinies afin drsquoeacuteviter drsquoeacuteventuelles incoheacuterences dans
le modegravele drsquoautorisation Vu qursquoil srsquoagit drsquoun environnement ubiquitaire cette veacuterification doit par
ailleurs ecirctre peu coucircteuse en temps en coucirct de traitement et en meacutemoire
Pour reacutepondre aux preacuteceacutedentes exigences nous avons deacutefini deux types de politiques de controcircle
drsquoaccegraves agrave savoir les politiques de partage et les politiques de controcircle et ce sur deux niveaux
respectivement le niveau acteur et le niveau entreprise Pour la conception du modegravele de politiques
de controcircle drsquoaccegraves nous nous sommes baseacutes sur un modegravele ABAC ce qui nous a permis drsquoavoir
une bonne flexibiliteacute en matiegravere drsquoattributs qui nous a permis de geacuterer lrsquointeropeacuterabiliteacute pour les
politiques interentreprises
Pour le deacuteveloppement de notre meacutecanisme de controcircle drsquoaccegraves ABAC nous nous sommes ins-
pireacutes du protocole XACML Cependant pour ce faire nous avons opteacute pour un formalisme logique
baseacute sur la logique temporelle du premier ordre Event-Calculus En guise de moteur de raisonne-
ment et veacuterification des coheacuterences des politiques de controcircle drsquoaccegraves nous avons utiliseacute le logiciel
Dec-reasoner baseacute sur le solveur SAT Relsat Lrsquoaspect temporel de la logique Event-Calculus nous a
eacutegalement permis de geacuterer des permissions temporaires auto-reacutevocables agrave savoir les deacuteleacutegations
qui sont tregraves utiles et importantes dans notre contexte RSE
Notre conception du meacutecanisme de controcircle drsquoaccegraves est en reacutealiteacute une extension du modegravele
XACML Cette extension concerne un module de gestion de la confiance des sujets de collabora-
tion au sein de chaque communauteacute Ce modegravele est lrsquoun des principaux fondements des politiques
de controcircle deacutefinies au niveau des entreprises Ces politiques de controcircle permettent aux entreprises
de garder le controcircle sur lrsquoaccegraves agrave leurs ressources partageacutees par leurs acteurs (partage user-centric)
dans le contexte RSE Plus preacuteciseacutement une politique (ie un ensemble de regravegles) drsquoentreprise se
combine aux politiques de partage de ressources afin de permettre aux entreprises drsquoavoir un controcircle
abstrait sur les eacuteventuels changements qui se produisent au sein du contexte de la communauteacute Ces
changements concernent plus preacuteciseacutement la confidentialiteacute des diffeacuterentes ressources partageacutees par
les acteurs et les comportements des acteurs (fraudes usurpation drsquoidentiteacute etc) Pour cela nous
156
92 Perspectives
avons proposeacute un modegravele de gestion baseacute sur un meacutecanisme de eacutevaluation du risque dans lequel
nous avons aligneacute les concepts fondamentaux de gestion du risque agrave savoir la menace lrsquoimpact et
la vulneacuterabiliteacute avec ceux du controcircle drsquoaccegraves et du contextes RSE agrave savoir la confiance numeacuterique
le nombre drsquoautorisationsproprieacutetaires et lrsquoauthenticiteacute des identiteacutes respectivement
Les politiques drsquoentreprises sont baseacutees sur des paramegravetres dynamiques Cela donne par conseacute-
quent un aspect dynamique agrave notre meacutecanisme de controcircle drsquoaccegraves En effet pour lrsquoeacutevaluation de
la menace drsquoune requecircte reccedilue le meacutecanisme de gestion du risque se base sur une eacutevaluation dyna-
mique et continue de la confiance que reflegravete le sujet de la requecircte Crsquoest pourquoi nous avons conccedilu
un meacutecanisme drsquoeacutevaluation de la confiance baseacute sur une eacutevaluation dynamique et continue de la
reacuteputation de chaque acteur de collaboration Lrsquoeacutevaluation de la reacuteputation est quant agrave elle baseacutee
sur lrsquohistorique de comportement et les informations de session courante concernant les tentatives
illeacutegales drsquoaccegraves drsquoun acteur
Enfin nous avons implanteacute et inteacutegreacute les prototypes des trois composants de seacutecuriteacute AAA 65 dans
la plateforme OpenPaaS La mise en œuvre de ces modules est baseacutee sur des services web
92 Perspectives
Nos contributions dans cette thegravese pour le projet OpenPaaS RSE couvrent les aspects essentiels
de la seacutecuriteacute agrave savoir lrsquoauthentification lrsquoautorisation et la supervision Cependant il reste quelques
deacutetails et ameacuteliorations que nous nrsquoavons pas traiteacutes dans le cadre de cette thegravese donnant ainsi une
ouverture agrave plusieurs perspectives Les ameacuteliorations peuvent ecirctre apporteacutees sur les trois axes de
recherche (Authentification Autorisation et Audit) abordeacutes dans cette thegravese
Drsquoabord sur lrsquoaspect authentification il est possible de travailler sur la conception drsquoune meacutethode
baseacutee sur la cryptographie pour eacutetablir un lien robuste entre lrsquoidentifiant interne et les identifiants
externes drsquoun sujet de collaboration Cela permettra de renforcer davantage la certification de lrsquoau-
thenticiteacute de lrsquoidentiteacute et reacuteduire le risque drsquousurpation drsquoidentiteacute Des ameacuteliorations niveau prototype
drsquoauthentification sont eacutegalement envisageables Car pour lrsquoinstant nous nrsquoavons testeacute notre modegravele
de feacutedeacuteration interopeacuterable baseacute sur LemonLDAP-NG qursquoavec le meacutecanisme loginmot-de-passe il sera
eacutegalement inteacuteressant de voir comment le systegraveme se comporte avec drsquoautres configurations en ma-
tiegravere de protocole de gestion de lrsquoauthentification
Ensuite sur lrsquoaspect autorisation il est possible drsquoeacutetendre notre meacutecanisme de deacuteleacutegation et ameacute-
liorer les performances en temps de traitement des politiques drsquoautorisation En effet le raisonneur
Dec-reasoner est baseacute sur un solveur SAT qui consomme beaucoup de temps pour lrsquoencodage (pro-
blegraveme NP-complet) Par conseacutequent vu le temps de traitement par le Dec-reasoner il devient presque
impossible de raisonner sur des intervalles temporels assez long (eg dizaines de minutes) Une solu-
tion peut ecirctre la technique de meacutemoisation qui consiste agrave enregistrer lrsquoeacutetat drsquoun systegraveme agrave un instant
donneacute et de le reacuteutiliser par la suite plutocirct que de le recalculer ie reacutecursiviteacute Cela permet drsquooptimi-
ser le coucirct de traitement drsquoune fonction en suspendant son exeacutecution et la relancer sur la base des
65 Authentification Autorisation et Audit
157
Chapitre 9 Conclusion et perspectives
reacutesultats obtenus aux preacuteceacutedents calculs Par exemple ce principe de reacutecursiviteacute est utiliseacute dans le
calcul de la suite de Fibonacci Dans notre contexte la meacutemoisation de la fonction du raisonnement
sur les preacutedicats Event-Calculus (ie lrsquoencodage SAT) peut ecirctre baseacutee sur lrsquoarriveacutee drsquoune nouvelle re-
quecircte pour deacuteterminer lrsquoeacutetat du systegraveme (ie les fluents) et le stocker Ensuite relancer le processus
de raisonnement sur la base des eacutetats anteacuterieurs du systegraveme et ce agrave lrsquoarriveacutee de chaque nouvelle
requecircte drsquoun sujet de collaboration
Dans le mecircme cadre du controcircle drsquoaccegraves il est eacutegalement possible drsquoenvisager des permissions
inter-communauteacutes Plus preacuteciseacutement un acteur peut transfeacuterer (migrer) certaines de ses permis-
sions valables depuis une communauteacute qursquoil souhaite quitter vers une nouvelle communauteacute qursquoil
souhaite rejoindre Par ailleurs nous consideacuterons les deacuteleacutegations externes entre acteurs uniquement
sur un seul niveau En drsquoautres termes nous nrsquoavons pas eacutetudieacute dans notre proposition lrsquoeacuteventualiteacute
qursquoun acteur deacuteleacutegueacute puisse re-deacuteleacuteguer ses droits deacuteleacutegueacutes ie agir en tant que deacuteleacutegataire sur des
droits qui lui sont deacuteleacutegueacutes Une deacuteleacutegation multi-niveau peut ecirctre pratique notamment dans un
large environnement tel qursquoun RSE Concernant les deacuteleacutegations internes nous nrsquoavons pas abordeacute
les politiques drsquohabilitation et de qualification drsquoune entreprise vis-agrave-vis de ses acteurs internes
Enfin concernant la derniegravere partie drsquoaudit et supervision nous avons omis le traitement de cer-
tains paramegravetres et nous avons proposeacute qursquoils soient deacutefinis drsquoune maniegravere subjective En effet pour
cette partie nous nous sommes baseacutes sur un meacutecanisme de gestion du risque dans lequel les para-
megravetres concerneacutes sont les vulneacuterabiliteacutes de lrsquoenvironnement collaboratif et le seuil de toleacuterance de
risque Concernant le deuxiegraveme paramegravetre (ie le seuil) de nombreuses techniques peuvent ecirctre uti-
liseacutees telles que Coast [47] ou lrsquoeacutevaluation des dommages (damages) [154 143] voire mecircme des
techniques de seuil dynamique et adaptatif [42 41] Quant au premier paramegravetre concernant les
vulneacuterabiliteacutes de nombreux paramegravetres peuvent srsquoaveacuterer aussi importants que la fiabiliteacute du meacuteca-
nisme drsquoauthentification comme par exemple la profondeur maximale de redeacuteleacutegation autoriseacutee au
sein de la communauteacute en question La deacuteleacutegation multi-niveau peut eacutegalement changer lrsquoimpact qui
fait eacutegalement partie des paramegravetres du risque sur les ressources collaboratives Lrsquoautre paramegravetre
dans la gestion du risque est la menace qui est baseacutee sur la confiance drsquoun acteur En effet lrsquoeacutevalua-
tion de la confiance est fondeacutee sur les donneacutees historiques drsquointeractions de lrsquoacteur au sein drsquoune
communauteacute Sachant qursquoun acteur peut faire partie de plusieurs communauteacutes (indeacutependantes) en
mecircme temps les informations neacutecessaires pour lrsquoeacutevaluation de la confiance peuvent ecirctre transfeacutereacutees
drsquoune communauteacute agrave une autre En outre il serait eacutegalement inteacuteressant que les informations histo-
riques drsquointeractions subissent un preacute-traitement afin de mieux les adapter en vue drsquoune exploitation
objective dans le processus drsquoeacutevaluation de la confiance numeacuterique
158
Bibliographie
[1] Caracteacuteristiques drsquoopenpaas Collaboratio paas httpswwwlinagorafropenpaas
[2] Educause things you should know about federated identity management httpnet
educauseeduirlibrarypdfEST0903pdf
[3] EmpowerID ws-trust and ws-federation httpswwwempoweridcom
learningcenterstandardsws-trust-fed
[4] Microsoft understanding ws-federation httpsmsdnmicrosoftcomen-us
librarybb498017aspxwsfedver1_topic3
[5] XACML-Studio (XS) httpxacml-studiosourceforgenet [Online accessed 16-
November-2015]
[6] ASNZS 4360 SET Risk Management AustralianNew Zealand Standards 2004
[7] The epSOS project A european ehealth project httpwwwepsoseu 2009 [Online acces-
sed 16-November-2015]
[8] The Nationwide Health Information Network (NHIN) an American eHealth Project http
healthithhsgovportalserverpt 2009 [Online accessed 16-November-2015]
[9] OAuth20 httpoauthnetabout 2015 [Online accessed 08-December-2015]
[10] Preacutesentation drsquoOAuth httpssupportgooglecomaanswer61017hl=fr mars
7 2014 [Online accessed 08-December-2015]
[11] M Abadi M Burrows B Lampson and G Plotkin A calculus for access control in distributed systems
ACM Transactions on Programming Languages and Systems (TOPLAS) 15(4) 706ndash734 1993
[12] A Abdul-Rahman and S Hailes Supporting trust in virtual communities In System Sciences 2000Proceedings of the 33rd Annual Hawaii International Conference on pages 9ndashpp IEEE 2000
[13] J-R Abrial Modeling in Event-B system and software engineering Cambridge University Press 2010
[14] W J Adams and N J Davis Toward a decentralized trust-based access control system for dynamic
collaboration In Information Assurance Workshop 2005 IAWrsquo05 Proceedings from the Sixth AnnualIEEE SMC pages 317ndash324 IEEE 2005
[15] A Ahmed Nacer E Goettelmann S Youcef A Tari and C Godart Business process design by reusing
business process fragments from the cloud In The 8th IEEE International Conference on Service OrientedComputing and Applications page 8 IEEE 2015
[16] G-J Ahn and R Sandhu The rsl99 language for role-based separation of duty constraints In Procee-dings of the fourth ACM workshop on Role-based access control pages 43ndash54 ACM 1999
[17] A A Almutairi M I Sarfraz S Basalamah W G Aref and A Ghafoor A distributed access control
architecture for cloud computing IEEE software (2) 36ndash44 2011
159
Bibliographie
[18] F T Alotaiby and J X Chen A model for team-based access control (tmac 2004) In Information Tech-nology Coding and Computing 2004 Proceedings ITCC 2004 International Conference on volume 1
pages 450ndash454 IEEE 2004
[19] R Ausanka-Crues Methods for access control advances and limitations Harvey Mudd College 301
2001
[20] R Baden A Bender N Spring B Bhattacharjee and D Starin Persona an online social network with
user-defined privacy In ACM SIGCOMM Computer Communication Review volume 39 pages 135ndash146
ACM 2009
[21] A K Bandara E C Lupu and A Russo Using event calculus to formalise policy specification and
analysis In Policies for Distributed Systems and Networks 2003 Proceedings POLICY 2003 IEEE 4thInternational Workshop on pages 26ndash39 IEEE 2003
[22] E Barka and R Sandhu Framework for role-based delegation models In Computer Security Applica-tions 2000 ACSACrsquo00 16th Annual Conference pages 168ndash176 IEEE 2000
[23] E Barka and R Sandhu Role-based delegation modelhierarchical roles (rbdm1) In Computer SecurityApplications Conference 2004 20th Annual pages 396ndash404 IEEE 2004
[24] E Barka R Sandhu et al A role-based delegation model and some extensions In 23rd NationalInformation Systems Security Conference pages 396ndash404 Citeseer 2000
[25] D E Bell and L J La Padula Secure computer system Unified exposition and multics interpretation
Technical report DTIC Document 1976
[26] M Ben Ghorbel-Talbi F Cuppens N Cuppens-Boulahia and A Bouhoula Managing delegation in
access control models In Advanced Computing and Communications 2007 ADCOM 2007 InternationalConference on pages 744ndash751 IEEE 2007
[27] E Bertino P A Bonatti and E Ferrari Trbac A temporal role-based access control model ACMTransactions on Information and System Security (TISSEC) 4(3) 191ndash233 2001
[28] E Bertino B Catania E Ferrari and P Perlasca A logical framework for reasoning about access control
models ACM Transactions on Information and System Security (TISSEC) 6(1) 71ndash127 2003
[29] R Bhatia J Lobo and M Kohli Policy evaluation for network management In INFOCOM 2000Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies ProceedingsIEEE volume 3 pages 1107ndash1116 IEEE 2000
[30] K J Biba Integrity considerations for secure computer systems Technical report DTIC Document
1977
[31] A Bielenberg L Helm A Gentilucci D Stefanescu and H Zhang The growth of diaspora-a decentra-
lized online social network in the wild In Computer Communications Workshops (INFOCOM WKSHPS)2012 IEEE Conference on pages 13ndash18 IEEE 2012
[32] E Birrell and F B Schneider Federated identity management systems A privacy-based characteriza-
tion 2012
[33] B Blakley The emperorrsquos old armor In Proceedings of the 1996 workshop on New security paradigmspages 2ndash16 ACM 1996
[34] M Blaze J Feigenbaum and A D Keromytis Keynote Trust management for public-key infrastruc-
tures In Security Protocols pages 59ndash63 Springer 1999
[35] M Blaze J Feigenbaum and J Lacy Decentralized trust management In Security and Privacy 1996Proceedings 1996 IEEE Symposium on pages 164ndash173 IEEE 1996
160
[36] M Blaze J Feigenbaum and M Strauss Compliance checking in the policymaker trust management
system In Financial cryptography pages 254ndash274 Springer 1998
[37] R V Boppana H Maynard and J Niu Attribute-based access control models and implementation in
cloud infrastructure as a service 2014
[38] A Bouchami E Goettelmann O Perrin and C Godart Enhancing access-control with risk-metrics
for collaboration on social cloud-platforms In 2015 IEEE TrustComBigDataSEISPA Helsinki FinlandAugust 20-22 2015 Volume 1 pages 864ndash871 2015
[39] A Bouchami and O Perrin Access control framework within a collaborative paas platform In EnterpriseInteroperability VI pages 465ndash476 Springer 2014
[40] A Bouchami O Perrin and E Zahoor Trust-based formal delegation framework for enterprise social
networks In 2015 IEEE TrustComBigDataSEISPA Helsinki Finland August 20-22 2015 Volume 1
pages 127ndash134 2015
[41] M-R Bouguelia Y Belaiumld and A Belaiumld Efficient active novel class detection for data stream classifi-
cation In ICPR-International Conference on Pattern Recognition pages 2826ndash2831 IEEE 2014
[42] M-R Bouguelia Y Belaiumld and A Belaiumld An adaptive streaming active learning strategy based on
instance weighting Pattern Recognition Letters 70 38ndash44 2016
[43] D F Brewer and M J Nash The chinese wall security policy In Security and Privacy 1989 Proceedings1989 IEEE Symposium on pages 206ndash214 IEEE 1989
[44] D W Britton and I A Brown A security risk measurement for the radac model Technical report DTIC
Document 2007
[45] J Bryans Reasoning about xacml policies using csp In SWS pages 28ndash35 2005
[46] S Buchegger and J-Y Le Boudec A robust reputation system for peer-to-peer and mobile ad-hoc
networks In P2PEcon 2004 number LCA-CONF-2004-009 2004
[47] V Cahill Using trust for secure collaboration in uncertain environments 2003
[48] Capterra Top Social Networking Software Products httpwwwcapterracom
social-networking-software 2008-2015 [Online accessed 27-October-2015]
[49] B Carminati E Ferrari and A Perego Rule-based access control for social networks In On the Moveto Meaningful Internet Systems 2006 OTM 2006 Workshops pages 1734ndash1744 Springer 2006
[50] B Carminati E Ferrari and A Perego Enforcing access control in web-based social networks ACMTransactions on Information and System Security (TISSEC) 13(1) 6 2009
[51] S Chakraborty and I Ray Trustbac integrating trust relationships into the rbac model for access
control in open systems In Proceedings of the eleventh ACM symposium on Access control models andtechnologies pages 49ndash58 ACM 2006
[52] A K Chandra and D Harel Horn clause queries and generalizations The Journal of Logic Programming
2(1) 1ndash15 1985
[53] Y Cheng J Park and R Sandhu Relationship-based access control for online social networks Beyond
user-to-user relationships In Privacy Security Risk and Trust (PASSAT) 2012 International Conferenceon and 2012 International Confernece on Social Computing (SocialCom) pages 646ndash655 IEEE 2012
[54] D D Clark and D R Wilson A comparison of commercial and military computer security policies In
Security and Privacy 1987 IEEE Symposium on pages 184ndash184 IEEE 1987
[55] W Clocksin and C S Mellish Programming in PROLOG Springer Science amp Business Media 2003
161
Bibliographie
[56] M Colombo F Martinelli P Mori M Petrocchi and A Vaccarelli Fine grained access control with trust
and reputation management for globus In On the Move to Meaningful Internet Systems 2007 CoopISDOA ODBASE GADA and IS pages 1505ndash1515 Springer 2007
[57] C Connolly Managing privacy in identity managementndashthe way forward
[58] J Crampton and H Khambhammettu Delegation in role-based access control International Journalof Information Security 7(2) 123ndash136 2008
[59] M L Crossley The desk reference of statistical quality methods ASQ Quality Press 2000
[60] F Cuppens and A Miegravege Administration model for or-bac In On The Move to Meaningful InternetSystems 2003 OTM 2003 Workshops pages 754ndash768 Springer 2003
[61] F Cuppens and A Miegravege Modelling contexts in the or-bac model In Computer Security ApplicationsConference 2003 Proceedings 19th Annual pages 416ndash425 IEEE 2003
[62] L A Cutillo R Molva and T Strufe Safebook A privacy-preserving online social network leveraging
on real-life trust Communications Magazine IEEE 47(12) 94ndash101 2009
[63] N Damianou N Dulay E Lupu and M Sloman The ponder policy specification language In Policiesfor Distributed Systems and Networks pages 18ndash38 Springer 2001
[64] M I Daud D Saacutenchez and A Viejo Ontology-based delegation of access control An enhancement to
the xacml delegation profile In Trust Privacy and Security in Digital Business pages 18ndash29 Springer
2015
[65] C De Laat G Gross L Gommans J Vollbrecht and D Spence Generic aaa architecture Technical
report 2000
[66] Y Demchenko C De Laat L Gommans and R V Buuren Domain based access control model for
distributed collaborative applications In e-Science and Grid Computing 2006 e-Sciencersquo06 Second IEEEInternational Conference on pages 24ndash24 IEEE 2006
[67] N Dimmock J Bacon D Ingram and K Moody Risk models for trust-based access control (tbac) In
Trust Management pages 364ndash371 Springer 2005
[68] N Dimmock A Belokosztolszki D Eyers J Bacon and K Moody Using trust and risk in role-based
access control policies In Proceedings of the ninth ACM symposium on Access control models and techno-logies pages 156ndash162 ACM 2004
[69] J Domingo-Ferrer A public-key protocol for social networks with private relationships In ModelingDecisions for Artificial Intelligence pages 373ndash379 Springer 2007
[70] D R dos Santos C M Westphall and C B Westphall Risk-based dynamic access control for a highly
scalable cloud federation In 7th International Conference on Emerging Security Information Systems andTechnologies pages 8ndash13 2013
[71] A A El Kalam Modegraveles et politiques de seacutecuriteacute pour les domaines de la santeacute et des affaires sociales PhD
thesis Institut National Polytechnique de Toulouse-INPT 2003
[72] A A El Kalam and Y Deswarte Multi-orbac A new access control model for distributed heterogeneous
and collaborative systems In 8th IEEE International Symposium on Systems and Information Security
2006
[73] W Ellis and D Hersh Xacml 30 analysis 2015
[74] N B Ellison et al Social network sites Definition history and scholarship Journal of Computer-Mediated Communication 13(1) 210ndash230 2007
162
[75] A B Fadhel D Bianculli and L Briand A comprehensive modeling framework for role-based access
control policies Journal of Systems and Software 2015
[76] D Ferraiolo D R Kuhn and R Chandramouli Role-based access control Artech House 2003
[77] Fido authentication httpwwwfidoallianceorg
[78] B S Firozabadi M Sergot and O Bandmann Using authority certificates to create management
structures In Security Protocols pages 134ndash145 Springer 2002
[79] K Gaaloul H A Proper and F Charoy Delegation protocols in human-centric workflows In Commerceand Enterprise Computing (CEC) 2011 IEEE 13th Conference on pages 219ndash224 IEEE 2011
[80] M Gaedke J Meinecke and M Nussbaumer A modeling approach to federated identity and access
management In Special interest tracks and posters of the 14th international conference on World WideWeb pages 1156ndash1157 ACM 2005
[81] D Gambetta Can we trust trust Trust Making and breaking cooperative relations 2000 213ndash237
2000
[82] M Gasser and E McDermott An architecture for practical delegation in a distributed system In
Research in Security and Privacy 1990 Proceedings 1990 IEEE Computer Society Symposium on pages
20ndash30 IEEE 1990
[83] C K Georgiadis I Mavridis G Pangalos and R K Thomas Flexible team-based access control using
contexts In Proceedings of the sixth ACM symposium on Access control models and technologies pages
21ndash27 ACM 2001
[84] C K Georgiadis I Mavridis G Pangalos and R K Thomas Flexible team-based access control using
contexts In SACMAT pages 21ndash27 2001
[85] P D Giang L X Hung S Lee Y-K Lee and H Lee A flexible trust-based access control mechanism
for security and privacy enhancement in ubiquitous systems In Multimedia and Ubiquitous Engineering2007 MUErsquo07 International Conference on pages 698ndash703 IEEE 2007
[86] H Gladney Access control for large collections ACM Transactions on Information Systems (TOIS)
15(2) 154ndash194 1997
[87] E Goettelmann N Mayer and C Godart Integrating security risk management into business process
management for the cloud In Business Informatics (CBI) 2014 IEEE 16th Conference on volume 1
pages 86ndash93 IEEE 2014
[88] L Gonzaacutelez-Manzano A I Gonzaacutelez-Tablas J M de Fuentes and A Ribagorda Cooped Co-owned
personal data management Computers amp Security 47 41ndash65 2014
[89] M Gregg CISSP Exam Cram 2 Que Corp 2005
[90] P Hallam-Baker Security assertions markup language May 14 1ndash24 2001
[91] W Han and C Lei A survey on policy languages in network and security management ComputerNetworks 56(1) 477ndash489 2012
[92] D Hardt The oauth 20 authorization framework 2012
[93] M A Harrison W L Ruzzo and J D Ullman Protection in operating systems Communications of theACM 19(8) 461ndash471 1976
[94] V C Hu D Ferraiolo R Kuhn A Schnitzer K Sandlin R Miller and K Scarfone Guide to attribute
based access control (abac) definition and considerations NIST Special Publication 800 162 2014
163
Bibliographie
[95] V C Hu D R Kuhn and D F Ferraiolo Attribute-based access control Computer (2) 85ndash88 2015
[96] W-K Huang and V Atluri Secureflow a secure web-enabled workflow management system In
Proceedings of the fourth ACM workshop on Role-based access control pages 83ndash94 ACM 1999
[97] D Jackson Software Abstractions logic language and analysis MIT press 2012
[98] S Jajodia P Samarati M L Sapino and V Subrahmanian Flexible support for multiple access control
policies ACM Transactions on Database Systems (TODS) 26(2) 214ndash260 2001
[99] S Jajodia P Samarati and V Subrahmanian A logical language for expressing authorizations In
Security and Privacy 1997 Proceedings 1997 IEEE Symposium on pages 31ndash42 IEEE 1997
[100] S Jajodia P Samarati and V S Subrahmanian A logical language for expressing authorizations In
IEEE Symposium on Security and Privacy pages 31ndash42 1997
[101] X Jin Attribute-based access control models and implementation in cloud infrastructure as a service THE
UNIVERSITY OF TEXAS AT SAN ANTONIO 2014
[102] A K Jones R J Lipton and L Snyder A linear time algorithm for deciding security In Foundationsof Computer Science 1976 17th Annual Symposium on pages 33ndash41 IEEE 1976
[103] A Joslashsang Trust and reputation systems In Foundations of security analysis and design IV pages 209ndash
245 Springer 2007
[104] A Joslashsang R Ismail and C Boyd A survey of trust and reputation systems for online service provision
Decision support systems 43(2) 618ndash644 2007
[105] J B Joshi and E Bertino Fine-grained role-based delegation in presence of the hybrid role hierarchy
In Proceedings of the eleventh ACM symposium on Access control models and technologies pages 81ndash90
ACM 2006
[106] J B Joshi E Bertino and A Ghafoor Temporal hierarchies and inheritance semantics for gtrbac In
Proceedings of the seventh ACM symposium on Access control models and technologies pages 74ndash83 ACM
2002
[107] A Jsang and R Ismail The beta reputation system In Proceedings of the 15th bled electronic commerceconference pages 41ndash55 2002
[108] L Kagal T Finin and A Joshi A policy language for a pervasive computing environment In Policiesfor Distributed Systems and Networks 2003 Proceedings POLICY 2003 IEEE 4th International Workshopon pages 63ndash74 IEEE 2003
[109] L Kagal T Finin and Y Peng A delegation based model for distributed trust In Workshop on AutonomyDelegation and Control Interacting with Autonomous Agents International Joint Conferences on ArtificialIntelligence 2001
[110] P Kaila Oauth and openid 20 From End-to-End to Trust-to-Trust page 18 2008
[111] A A E Kalam R Baida P Balbiani S Benferhat F Cuppens Y Deswarte A Miege C Saurel and
G Trouessin Organization based access control In Policies for Distributed Systems and Networks 2003Proceedings POLICY 2003 IEEE 4th International Workshop on pages 120ndash131 IEEE 2003
[112] S Kandala R Sandhu and V Bhamidipati An attribute based framework for risk-adaptive access
control models In Availability Reliability and Security (ARES) 2011 Sixth International Conference on
pages 236ndash241 IEEE 2011
[113] D E Knuth Backus normal form vs backus naur form Communications of the ACM 7(12) 735ndash736
1964
164
[114] V Kolovski J A Hendler and B Parsia Analyzing web access control policies In WWW pages 677ndash
686 2007
[115] P Konopacki M Frappier and R Laleau Expressing access control policies with an event-based ap-
proach In CAiSE Workshops pages 607ndash621 Springer 2011
[116] R Kowalski and M Sergot A logic-based calculus of events In Foundations of knowledge base mana-gement pages 23ndash55 Springer 1989
[117] D R Kuhn E J Coyne and T R Weil Adding attributes to role-based access control Computer(6) 79ndash81 2010
[118] T Kurze M Klems D Bermbach A Lenk S Tai and M Kunze Cloud federation In Proceedings ofthe 2nd International Conference on Cloud Computing GRIDs and Virtualization (CLOUD COMPUTING2011) 2011
[119] B W Lampson Protection ACM SIGOPS Operating Systems Review 8(1) 18ndash24 1974
[120] G Lawton Developing software online with platform-as-a-service technology Computer 41(6) 13ndash15
2008
[121] A Lazouski F Martinelli and P Mori Usage control in computer security A survey Computer ScienceReview 4(2) 81ndash99 2010
[122] H Lee I Jeun and H Jung Criteria for evaluating the privacy protection level of identity manage-
ment services In Emerging Security Information Systems and Technologies 2009 SECURWARErsquo09 ThirdInternational Conference on pages 155ndash160 IEEE 2009
[123] R Lepro Cardea Dynamic access control in distributed systems System 13(13) 4ndash2 2004
[124] H Levesque F Pirri and R Reiter Foundations for the situation calculus Linkoumlping Electronic Articlesin Computer and Information Science 3(18) 1998
[125] N Li and J C Mitchell Datalog with constraints A foundation for trust management languages In
Practical Aspects of Declarative Languages pages 58ndash73 Springer 2003
[126] N Li and J C Mitchell A role-based trust-management framework In null page 201 IEEE 2003
[127] Y Liu Trust-based access control for collaborative system In Computing Communication Controland Management 2008 CCCMrsquo08 ISECS International Colloquium on volume 1 pages 444ndash448 IEEE
2008
[128] Z Liu W Sun and M Alam A flexible role-based delegation model with dynamic delegation role
structure
[129] lemonldap-ng references httplemonldap-ngorgreferences
[130] Cleacutement OUDOT lemonldap ng un websso libre httpfrslidesharenetcoudot
lemonldapng-un-websso-librefrom_search=19
[131] J Lobo R Bhatia and S A Naqvi A policy description language In AAAIIAAI pages 291ndash298 1999
[132] Ldap synchronization connector wiki httplsc-projectorgwikiaboutstart
[133] J Lu D Xu L Jin J Han and H Peng On the complexity of role updating feasibility problem in rbac
Information Processing Letters 114(11) 597ndash602 2014
[134] W Luo and E Rosen Method and system for providing authorization authentication and accounting
for a virtual private network Dec 23 2008 US Patent 7469294
[135] K Lyytinen and Y Yoo Ubiquitous computing Communications of the ACM 45(12) 63ndash96 2002
165
Bibliographie
[136] M P Machulak E L Maler D Catalano and A Van Moorsel User-managed access to web resources
In Proceedings of the 6th ACM workshop on Digital identity management pages 35ndash44 ACM 2010
[137] E Maler et al Assertions and protocols for the oasis security assertion markup language (saml) OASISSeptember 2003
[138] M Mankai and L Logrippo Access control policies Modeling and validation In 5th NOTERE Conference(Nouvelles Technologies de la Reacutepartition) pages 85ndash91 2005
[139] M Masi R Pugliese and F Tiezzi Formalisation and implementation of the xacml access control
mechanism In Engineering Secure Software and Systems pages 60ndash74 Springer 2012
[140] N Mayer Model-based Management of Information System Security Risk PhD thesis University of
Namur Apr 2009
[141] K McNamara Rational fictions central bank independence and the social logic of delegation Westeuropean politics 25(1) 47ndash76 2002
[142] N H Minsky The imposition of protocols over open distributed systems Software Engineering IEEETransactions on 17(2) 183ndash195 1991
[143] I Molloy L Dickens C Morisset P-C Cheng J Lobo and A Russo Risk-based security decisions
under uncertainty In Proceedings of the second ACM conference on Data and Application Security andPrivacy pages 157ndash168 ACM 2012
[144] G Mori F Paternograve and C Santoro Ctte support for developing and analyzing task models for
interactive system design Software Engineering IEEE Transactions on 28(8) 797ndash813 2002
[145] T Moses et al Extensible access control markup language (xacml) version 20 Oasis Standard 200502
2005
[146] E T Mueller Discrete event calculus reasoner documentation Software documentation IBM ThomasJ Watson Research Center PO Box 704 2008
[147] E T Mueller Commonsense reasoning Morgan Kaufmann 2010
[148] E T Mueller Commonsense Reasoning An Event Calculus Based Approach Morgan Kaufmann 2014
[149] L Mui M Mohtashemi and A Halberstadt A computational model of trust and reputation In SystemSciences 2002 HICSS Proceedings of the 35th Annual Hawaii International Conference on pages 2431ndash
2439 IEEE 2002
[150] R Nasim and S Buchegger Xacml-based access control for decentralized online social networks In
Proceedings of the 2014 IEEEACM 7th International Conference on Utility and Cloud Computing pages
671ndash676 IEEE Computer Society 2014
[151] National Institute of Standards and Technology Information Security - Guide for Conducting Risk
Assessments 2002
[152] T N Nguyen K T L Thi A T Dang H D S Van and T K Dang Towards a flexible framework
to support a generalized extension of xacml for spatio-temporal rbac model with reasoning ability In
ICCSA (5) 2013
[153] Q Ni and E Bertino xfacl an extensible functional language for access control In SACMAT pages
61ndash72 2011
[154] Q Ni E Bertino and J Lobo Risk-based access control systems built on fuzzy inferences In Proceedingsof the 5th ACM Symposium on Information Computer and Communications Security pages 250ndash260
ACM 2010
166
[155] OASIS XACML30 httpdocsoasis-openorgxacml30xacml-3
0-administration-v1-spec-cd-1-enhtml_Toc230521654 2013 [Online
accessed 28-September-2015]
[156] J Park and R Sandhu The ucon abc usage control model ACM Transactions on Information and SystemSecurity (TISSEC) 7(1) 128ndash174 2004
[157] J S Park R Sandhu and G-J Ahn Role-based access control on the web ACM Transactions onInformation and System Security (TISSEC) 4(1) 37ndash71 2001
[158] S Poslad Ubiquitous computing smart devices environments and interactions John Wiley amp Sons
2011
[159] S Radack Risk management framework Helping organizations implement effective information se-
curity programs INS Whitepaper Santa Clara INS 2009
[160] P Rao D Lin E Bertino N Li and J Lobo An algebra for fine-grained integration of xacml policies
In Proceedings of the 14th ACM symposium on Access control models and technologies pages 63ndash72 ACM
2009
[161] I Ray and M Toahchoodee A spatio-temporal access control model supporting delegation for pervasive
computing applications In Trust Privacy and Security in Digital Business pages 48ndash58 Springer 2008
[162] D Recordon and B Fitzpatrick Openid authentication 20-final 2007
[163] G Richard De la confiance article paru dans la revue Lrsquoenseignement philosophique 50e anneacutee n5 2000
2000
[164] E Rissanen extensible access control markup language (xacml) version 30 2013
[165] C Ruan and V Varadharajan Dynamic delegation framework for role based access control in distributed
data management systems Distributed and Parallel Databases 32(2) 245ndash269 2014
[166] A Russo R Miller B Nuseibeh and J Kramer An abductive approach for analysing event-based requi-rements specifications Springer 2002
[167] J A Russo and R Yates Time limited collaborative community role delegation policy Aug 19 2008
US Patent 7415498
[168] M B Saidi and A Marzouk Multi-trust_orbac Access control model for multi-organizational critical
systems migrated to the cloud 2013
[169] R Sandhu D Ferraiolo and R Kuhn The nist model for role-based access control towards a unified
standard In ACM workshop on Role-based access control volume 2000 2000
[170] R S Sandhu Expressive power of the schematic protection model Journal of Computer Security
1(1) 59ndash98 1992
[171] R S Sandhu Lattice-based access control models Computer 26(11) 9ndash19 1993
[172] R S Sandhu E J Coyne H L Feinstein and C E Youman Role-based access control models Com-puter 29(2) 38ndash47 1996
[173] R S Sandhu and P Samarati Access control principle and practice Communications Magazine IEEE
32(9) 40ndash48 1994
[174] V Sassone K Krukow and M Nielsen Towards a formal framework for computational trust In FormalMethods for Components and Objects pages 175ndash184 Springer 2007
167
Bibliographie
[175] L Schwittmann C Boelmann M Wander and T Weis Sonetndashprivacy and replication in federated
online social networks In Distributed Computing Systems Workshops (ICDCSW) 2013 IEEE 33rd Inter-national Conference on pages 51ndash57 IEEE 2013
[176] L Seitz E Rissanen T Sandholm B S Firozabadi and O Mulmo Policy administration control and
delegation using xacml and delegent In Proceedings of the 6th IEEEACM International Workshop onGrid Computing pages 49ndash54 IEEE Computer Society 2005
[177] S-W Seong J Seo M Nasielski D Sengupta S Hangal S K Teh R Chu B Dodson and M S
Lam Prpl a decentralized social networking infrastructure In Proceedings of the 1st ACM Workshopon Mobile Cloud Computing amp Services Social Networks and Beyond page 8 ACM 2010
[178] R A Shaikh K Adi and L Logrippo Dynamic risk-based decision methods for access control systems
Computers amp Security 31(4) 447ndash464 2012
[179] M Shanahan The event calculus explained In Artificial intelligence today pages 409ndash430 Springer
1999
[180] R Sharma and A Datta Supernova Super-peers based architecture for decentralized online social
networks In Communication Systems and Networks (COMSNETS) 2012 Fourth International Conferenceon pages 1ndash10 IEEE 2012
[181] S S Shim G Bhalla and V Pendyala Federated identity management Computer 38(12) 120ndash122
2005
[182] W W Smari P Clemente and J-F Lalande An extended attribute based access control model with trust
and privacy Application to a collaborative crisis management system Future Generation ComputerSystems 31 147ndash168 2014
[183] W L Teacy J Patel N R Jennings and M Luck Travos Trust and reputation in the context of
inaccurate information sources Autonomous Agents and Multi-Agent Systems 12(2) 183ndash198 2006
[184] Q N T Thi and T K Dang X-strowl A generalized extension of xacml for context-aware spatio-
temporal rbac model with owl In Digital Information Management (ICDIM) 2012 Seventh InternationalConference on pages 253ndash258 IEEE 2012
[185] R K Thomas Team-based access control (tmac) a primitive for applying role-based access controls
in collaborative environments In Proceedings of the second ACM workshop on Role-based access controlpages 13ndash19 ACM 1997
[186] J E Tidswell and T Jaeger Integrated constraints and inheritance in dtac In Symposium on AccessControl Models and Technologies Proceedings of the fifth ACM workshop on Role-based access controlvolume 26 pages 93ndash102 2000
[187] J-Y Tigli S Lavirotte G Rey V Hourdin and M Riveill Context-aware authorization in highly dyna-
mic environments arXiv preprint arXiv 11025194 2011
[188] H F Tipton and M Krause Information security management handbook CRC Press 2003
[189] K Toumi C Andreacutes and A Cavalli Trust-orbac A trust access control model in multi-organization
environments In Information Systems Security pages 89ndash103 Springer 2012
[190] H T T Truong A Contract-based and Trust-aware Collaboration Model PhD thesis Universiteacute de
Lorraine 2012
[191] P Tsankov S Marinovic M T Dashti and D Basin Decentralized composite access control Springer
2014
168
[192] S University of Murcia (UMU) UMU-XACML-Edito version 132 httpumu-xacmleditor
sourceforgenet 2009 [Online accessed 16-November-2015]
[193] H D S Van T A Dang and T K Dang Supporting authorization reasoning based on role and resource
hierarchies in an ontology-enriched xacml model International Journal of Computer and Communica-tion Engineering 3(3) 155 2014
[194] Q Wang and H Jin Quantified risk-adaptive access control for patient privacy protection in health
information systems In Proceedings of the 6th ACM Symposium on Information Computer and Commu-nications Security pages 406ndash410 ACM 2011
[195] W Wang Team-and-role-based organizational context and access control for cooperative hypermedia
environments In Proceedings of the tenth ACM Conference on Hypertext and hypermedia returning toour diverse roots returning to our diverse roots pages 37ndash46 ACM 1999
[196] N Yang H Barringer and N Zhang A purpose-based access control model In Information Assuranceand Security 2007 IAS 2007 Third International Symposium on pages 143ndash148 IEEE 2007
[197] S S Yau Y Yao and A B Buduru An adaptable distributed trust management framework for large-
scale secure service-based systems Computing 96(10) 925ndash949 2014
[198] E Zahoor Gouvernance de service aspects seacutecuriteacute et donneacutees PhD thesis Universiteacute Nancy II 2011
[199] E Zahoor O Perrin and A Bouchami CATT A cloud based authorization framework with trust
and temporal aspects In 10th IEEE International Conference on Collaborative Computing NetworkingApplications and Worksharing CollaborateCom 2014 Miami Florida USA October 22-25 2014 pages
285ndash294 2014
[200] E Zahoor O Perrin and C Godart Disc A declarative framework for self-healing web services com-
position In Web Services (ICWS) 2010 IEEE International Conference on pages 25ndash33 IEEE 2010
[201] E Zahoor O Perrin and C Godart Disc A declarative framework for self-healing web services com-
position In ICWS 2010
[202] E Zahoor O Perrin and C Godart Disc-set Handling temporal and security aspects in the web
services composition In 8th IEEE European Conference on Web Services (ECOWS 2010) 1-3 December2010 Ayia Napa Cyprus pages 51ndash58 2010
[203] E Zahoor O Perrin and C Godart An event-based reasoning approach to web services monitoring
In ICWS 2011
[204] L Zhang G-J Ahn and B-T Chu A role-based delegation framework for healthcare information
systems In Proceedings of the seventh ACM symposium on Access control models and technologies pages
125ndash134 ACM 2002
[205] L Zhang G-J Ahn and B-T Chu A rule-based framework for role-based delegation and revocation
ACM Transactions on Information and System Security (TISSEC) 6(3) 404ndash441 2003
169