Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise · 2020. 11. 5. ·...

HAL Id tel-01754669httpstelarchives-ouvertesfrtel-01754669v2

Submitted on 24 Nov 2016

HAL is a multi-disciplinary open accessarchive for the deposit and dissemination of sci-entific research documents whether they are pub-lished or not The documents may come fromteaching and research institutions in France orabroad or from public or private research centers

Lrsquoarchive ouverte pluridisciplinaire HAL estdestineacutee au deacutepocirct et agrave la diffusion de documentsscientifiques de niveau recherche publieacutes ou noneacutemanant des eacutetablissements drsquoenseignement et derecherche franccedilais ou eacutetrangers des laboratoirespublics ou priveacutes

Seacutecuriteacute des ressources collaboratives dans les reacuteseauxsociaux drsquoentreprise

Ahmed Bouchami

To cite this versionAhmed Bouchami Seacutecuriteacute des ressources collaboratives dans les reacuteseaux sociaux drsquoentreprise Cryp-tographie et seacutecuriteacute [csCR] Universiteacute de Lorraine 2016 Franccedilais NNT 2016LORR0091 tel-01754669v2

Ecole doctorale IAEM Lorraine

Securite des ressources collaboratives

dans les reseaux sociaux drsquoentreprise

THESE

presentee et soutenue publiquement le ndash 02 septembre 2016

pour lrsquoobtention du

Doctorat de lrsquoUniversite de Lorraine

(mention informatique)

par

Ahmed BOUCHAMI

Composition du jury

Rapporteurs Maryline LAURENT Professeur Telecom SudParis

Abdelmadjid BOUABDALLAH Professeur Universite de Technologie de Compiegne

Examinateurs Salima BENBERNOU Professeur Universite Paris Descartes

Yves LE TRAON Professeur Universite du Luxembourg

Olivier FESTOR Directeur de recherche INRIA

Invites Ehtesham ZAHOOR Maitre de conference National University of Computer

and Emerging Sciences FAST-NU Islamabad Pakistan

Directeur de thegravese Olivier PERRIN Professeur Universite de Lorraine

Laboratoire Lorrain de Recherche en Informatique et ses Applications mdash UMR 7503

Mis en page avec la classe thesul

Remerciements

Je tiens agrave remercier du fond du cœur toutes ces personnes qui mrsquoont soutenu et aideacute pour la

reacutealisation de cette thegravese

En premier lieu je tiens agrave remercier le professeur MOlivier PERRIN pour mrsquoavoir encadreacute et

accompagneacute tout au long du projet de thegravese un encadrement marqueacute par la rigueur la subtiliteacute

et le respect Je remercie eacutegalement mon ami Ehtesham ZAHOOR de mrsquoavoir soutenu dans des

moments difficiles de ce projet et de mrsquoavoir aideacute pour la reacutealisation drsquoune partie importante de

celui-ci Par ailleurs je remercie tous les membres de mon jury de thegravese qui mrsquoont honoreacute drsquoavoir

accepteacute drsquoeacutevaluer mon travail et pour lrsquoavoir appreacutecieacute

Je remercie tous les membres de lrsquoeacutequipe COAST que jrsquoai eu la chance de connaitre pendant mon

passage au LORIA avec une penseacutee particuliegravere pour Claude GODART pour ces conseils aviseacutes Eacutelio

GOETELMAN et Amina AHMED-NACER pour leur aide preacutecieuse et Jordi MARTORI pour la bonne

ambiance au sein de notre bureau

Je tiens eacutegalement agrave remercier les collegravegues du laboratoire LORIA-INRIA GrandEST pour les

agreacuteables moments que jrsquoai passeacutes en leur compagnie merci Cheddy Wazen Hamma Mohamed

Mehdi Rafik Karim Yassine Younes Slouma Nabil Nihel Mohcen Tarik Isabelle ainsi qursquoagrave tous

ceux qui ont participeacute agrave cette belle aventure Je remercie du fond du coeur mes amies Manelle Asma

Khaoula Ilef et mon camarade Faycel pour les moments de joie qursquoon a passeacutes ensemble

Mes penseacutees les plus profondes sont eacutevidemment reacuteserveacutees agrave mes chers parents et mon adorable

femme pour leur soutien psychologique qui mrsquoa inspireacute durant ces derniegraveres anneacutees

1

2

Agrave ma tregraves chegravere famille

3

4

Sommaire

Chapitre 1

Introduction geacuteneacuterale

11 Introduction 13

12 Contexte geacuteneacuteral 15

13 La seacutecuriteacute dans un RSE 16

131 Authentification 17

132 Autorisation 18

133 Audit et gouvernance 19

134 Synthegravese 20

14 Reacutesumeacute des contributions de la thegravese 20

141 Conception drsquoarchitecture et gestion des identiteacutes -Authentification- 20

142 Controcircle drsquoaccegraves et supervision -Autorisation et Audit- 22

143 Mise en œuvre 23

15 Reacutesumeacute du sujet de la thegravese 24

16 Organisation de la thegravese 24

Chapitre 2

Probleacutematique et motivations

21 Introduction 27

22 Exemple de motivation 28

23 Gestion des ressources et identiteacutes collaboratives 31

231 Types de collaboration dans les environnements collaboratifs 31

2311 Collaboration agrave long terme 31

2312 Collaboration agrave faible couplage 32

2313 Collaboration Ad Hoc 33


232 Gestion de lrsquoauthentification 34

24 Controcircle drsquoaccegraves 35

5

Sommaire

25 Supervision et confiance numeacuterique 38

251 Gestion du risque des requecirctes de demande drsquoaccegraves 39

26 Synthegravese 39

27 Conclusion 40

Chapitre 3

Eacutetat de lrsquoart

31 Gestion des identiteacutes numeacuteriques collaboratives 41

311 Identiteacute et cycle de vie 42

312 Eacutetude des solutions existantes 43

3121 Authentification forte 43

3122 Authentification unique multi-domaine (SSO) 44

3123 Authentification feacutedeacutereacutee 46


321 Paradigmes de construction drsquoun langage de politique 50

322 Politiques de controcircle drsquoaccegraves classiques et modegraveles associeacutes 51

3221 DAC 52

3222 MAC 52

3223 Politiques de controcircle drsquoaccegraves baseacutees sur le rocircle ndashRBAC- 54


323 Attribute Based Access Control 58

324 Mise en œuvre de politiques ABAC 60

3241 eXtensible Access Control Markup Language ldquoXACMLrdquo - un forma-

lisme structureacute - 60

3242 Le point sur XACML par rapport agrave OpenPaaS RSE 63

325 Controcircle drsquoaccegraves dynamique 64

3251 Contexte et controcircle drsquoaccegraves 65

3252 Confiance numeacuterique 66

3253 Gestion du risque 68

326 Deacuteleacutegation 71

327 Vers une implantation formelle de XACML 73

33 Conclusion 76

34 Synthegravese de lrsquoeacutetat de lrsquoart 76

Chapitre 4

Architecture et gestion des identiteacutes numeacuteriques

41 Introduction 79

6

42 Gestion et administration des identiteacutes et ressources 79

421 Gestion des ressources 80

422 Gestion des politiques 81

423 Gestion des identiteacutes numeacuteriques 82

4231 Feacutedeacuteration des identiteacutes numeacuteriques 83

4232 LemonLDAP-NG 86

4233 Authentification et interopeacuterabiliteacute 88

43 Conclusion 91

Chapitre 5

Controcircle drsquoaccegraves

51 Introduction 93

52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves 93


522 Vision drsquoarchitecture 95

53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves 96

531 Modeacutelisation des regravegles de controcircle drsquoaccegraves 97

5311 Cible 97

5312 Effet et condition 98

5313 Modegravele de regravegle 98

5314 Instance et eacutevaluation de regravegle 99

532 Modeacutelisation de politiques de controcircle drsquoaccegraves 100

5321 Patron de politiques baseacutees sur la cible 101

5322 Patron de politiques baseacutees sur le sujet 102

5323 Instance et eacutevaluation de politique 103

533 PolicySet 104

5331 Politique drsquoentreprise 105



541 Preacutesentation formelle de deacuteleacutegation 108

5411 Deacuteleacutegation interne 108

542 Deacuteleacutegation externe 111

543 Application des modegraveles sur lrsquoexemple de motivation 111

55 Conclusion 112

7

Sommaire

Chapitre 6

Gestion du risque

61 Introduction 113

62 Contexte 113

63 Meacutetrique drsquoeacutevaluation du risque 114

631 Deacutefinitions 116

64 Expeacuterimentation 119

641 Impleacutementation 119

642 Reacutesultats 120

643 Discussion 122

65 Conclusion 123

Chapitre 7

Confiance numeacuterique

71 Introduction 125

72 Contexte 125

73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation 126

731 Preacutesentation formelle du meacutecanisme drsquoeacutevaluation de confiance 127

732 Illustration 130

74 Eacutetude expeacuterimentale 130

741 Discussion 131

75 Conclusion 133

Chapitre 8

Implantation des composantes de seacutecuriteacute

81 OpenPaaS RSE vue abstraite 135

82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash 136

821 Reacutesumeacute de solution proposeacutee 137

822 Implantation 137

83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash 140

831 Reacutesumeacute de la solution proposeacutee 140


8321 Authorization store 141

84 Audit et gouvernance des ressources collaboratives dans OpenPaaS 147

85 Conclusion 151

8

Chapitre 9

Conclusion et perspectives


92 Perspectives 155

Bibliographie 157

9

Sommaire

10

Abstract

Enterprise social networks (ESN) have revolutionized collaboration between professional orga-

nizations By means of an ESN conventional mobility constraints complex procedures for services

exchange and the lack of flexibility and communication are no longer concerns In this thesis we have

worked on the project OpenPaaS ESN Mainly we focused on the management of the access control

which led us to other needs namely the management of digital identities and their monitoring We

worked primarily on managing the authentication of digital identities within collaborative communi-

ties made of heterogeneous enterprises regarding authentication management systems For this we

have proposed an interoperable architecture for managing federated authentication allowing thus

each enterprise to preserve its (own) authentication mechanism and each principal to perform a sin-

gle sign on authentication regarding different enterprises Further we focused on the management

of digital identities accreditations ie Access Control On this aspect we have proposed a flexible

access control model based on a set of identity attributes We developed this model on the basis of

a formal language based on temporal logic namely the Event-Calculus logic We were thus able to

make the sharing of resources fluid and agile and also able to handle temporary authorizations ie

delegations The fluidity and agility of the shares is due to the user-centric resourcesrsquo sharing in a

straightforward manner In addition the logical formalism has allowed us to automatically check the

access control policies consistency For enterprises our access control system gives them the ability

to control the user-centric sharing policies through policies based on a risk management mechanism

which make our access control mechanism dynamic The risk mechanism is based on the NISTrsquos risk

definition with an alignment with a set of parameters that include access control in the ESN context

More precisely the dynamic risk management includes the collaborative resourcersquos importance the

authentication systemrsquos vulnerabilities and trust level reflected through the behavior of each collab-

orative actor On this latter aspect of trust we made an evaluation of trust through the computation

of reputation scores based on the history of collaborative interactions of each subject of collabora-

tion Finally we have implemented all those security modules and integrate them as a prototype into

OpenPaaS ESN

Keywords Security Identity Federation ABAC access control delegation risk management digital

trust

11

Reacutesumeacute

Les reacuteseaux sociaux drsquoentreprise (RSE) ont reacutevolutionneacute la collaboration entre les organisations

professionnelles Gracircce aux RSEs les contraintes classiques de mobiliteacute de proceacutedures compliqueacutees

drsquoeacutechange de services et de manque de flexibiliteacute et de communication en matiegravere de cercles col-

laboratifs ne sont plus drsquoactualiteacute Dans cette thegravese nous avons travailleacute sur le projet OpenPaaS

RSE Principalement nous nous sommes focaliseacutes sur la partie gestion du controcircle drsquoaccegraves qui nous

a conduit vers drsquoautres besoins agrave savoir la gestion des identiteacutes numeacuteriques et leurs supervisions

Nous avons travailleacute en premier lieu sur la gestion de lrsquoauthentification des identiteacutes numeacuteriques au

sein de communauteacutes de collaboration regroupant des entreprises heacuteteacuterogegravenes en matiegravere de ges-

tion de lrsquoauthentification Pour cela nous avons proposeacute une architecture de feacutedeacuteration interopeacuterable

en matiegravere de gestion de lrsquoauthentification permettant ainsi agrave chaque entreprise de preacuteserver son

meacutecanisme drsquoauthentification (propre) et aux acteurs de proceacuteder agrave une authentification unique

Nous nous sommes ensuite concentreacutes sur la gestion des accreacuteditations des identiteacutes numeacuteriques

(ie controcircle drsquoaccegraves) Sur cet aspect nous avons proposeacute un meacutecanisme flexible de controcircle drsquoaccegraves

baseacute sur un ensemble drsquoattributs identitaires que nous avons conccedilu sur la base drsquoun langage formel

fondeacute sur la logique temporelle Event-Calculus Nous sommes ainsi en mesure de rendre le partage

de ressources fluide et agile et par ailleurs capables de geacuterer des autorisations temporaires (ie les

deacuteleacutegations) La fluiditeacute et lrsquoagiliteacute du partage sont dues au fait que nous avons modeacuteliseacute notre meacute-

canisme de controcircle drsquoaccegraves de telle sorte que le partage soit baseacute principalement sur les acteurs

de collaboration (ie user-centric) et ce de la maniegravere la plus simple possible En outre le forma-

lisme logique nous a permis de veacuterifier automatiquement la coheacuterence des politiques notamment

celles lieacutees au partage de ressources Notre systegraveme de controcircle drsquoaccegraves donne aux entreprises le

pouvoir de controcircler de maniegravere abstraite les politiques de partage de ressources deacutefinies agrave lrsquoeacutechelle

des acteurs et ce gracircce agrave des politiques fondeacutees sur un meacutecanisme de gestion du risque qui eacutemane

des requecirctes externes de demande drsquoaccegraves Les politiques baseacutees sur le risque sont combineacutees avec

les politiques de partage Dans notre meacutecanisme de gestion du risque nous nous sommes baseacutes

sur les standards lieacutes au risque (deacutefinis par le NIST) que nous avons aligneacutes avec des paramegravetres

pertinents pour le controcircle drsquoaccegraves dans le contexte RSE Notre gestion dynamique du risque inclut

en effet les paramegravetres suivants lrsquoimportante de chaque ressource collaborative les vulneacuterabiliteacutes

des systegravemes drsquoauthentification utiliseacutes pour authentifier les acteurs au sein drsquoune communauteacute et la

confiance refleacuteteacutee agrave travers le comportement de chaque acteur de collaboration Sur ce dernier aspect

de confiance nous avons proceacutedeacute agrave une eacutevaluation de la confiance numeacuterique agrave travers le cumul de

reacuteputations baseacute sur lrsquohistorique drsquointeractions collaboratives de chaque sujet Enfin nous avons deacute-

veloppeacute ces diffeacuterents modules de seacutecuriteacute orienteacutes pour le controcircle drsquoaccegraves dans les environnements

collaboratifs socioprofessionnels et nous les avons inteacutegreacutes au prototype du RSE OpenPaaS

Mots-cleacutes Seacutecuriteacute Feacutedeacuteration drsquoidentiteacute ABAC Controcircle drsquoaccegraves Deacuteleacutegation Gestion du risque


12

Chapitre 1


Sommaire

11 Introduction 13




132 Autorisation 18









Dans cette partie nous allons en premier lieu introduire le contexte geacuteneacuteral des travaux reacuteali-

seacutes dans le cadre de cette thegravese Ensuite nous deacutetaillerons les probleacutematiques de nos travaux de

recherche meneacutes tout au long de cette thegravese

11 Introduction

Cette thegravese porte sur la seacutecuriteacute dans les environnements collaboratifs Nous nous sommes particu-

liegraverement focaliseacutes dans nos travaux sur la gestion des identiteacutes numeacuteriques la gestion des autorisa-

tions et la supervision Les environnements collaboratifs constituent le cadre geacuteneacuteral qui a influenceacute

notre analyse et par conseacutequent nos solutions Crsquoest pourquoi nous commenccedilons par aborder la no-

tion drsquoenvironnement collaboratifs afin de mieux eacutelucider le contexte sur lequel sont fondeacutees notre

probleacutematique de recherche et nos diffeacuterentes contributions

13

Chapitre 1 Introduction geacuteneacuterale

Un environnement collaboratif est principalement un contexte multi-acteurs dans lequel diverses

entiteacutes collaborent pour la reacutealisation drsquoobjectifs communs et convergents Lrsquoideacutee principale drsquoune

collaboration se base sur le partage de tacircches et lrsquoeacutechange drsquoinformations et de ressources entre

diffeacuterents acteurs Ces acteurs peuvent ecirctre issus de multiples domaines de compeacutetences ce qui

nous permet de qualifier drsquoenvironnement heacuteteacuterogegravene un environnement collaboratif

Lrsquoeacutevolution des environnements IT a permis de faciliter la collaboration en banalisant les contraintes

de mobiliteacute et de communication Cela a permis drsquoeacutelargir le peacuterimegravetre de collaboration afin de maxi-

miser le rendement et lrsquoefficaciteacute du travail collaboratif Cependant un travail de collaboration de

bonne qualiteacute exige une bonne gestion au sein de lrsquoenvironnement collaboratif Lrsquoun des piliers de

cette bonne gestion reacuteside dans la capaciteacute et les compeacutetences agrave srsquoadapter aux changements per-

manents des entiteacutes collaboratives Une entiteacute collaborative peut ecirctre active (ie un acteur humain

ou un logiciel) ou bien passive (ie une ressource) Les reacuteseaux sociaux sont lrsquoune des eacutevolutions

les plus reacutecentes et les plus riches des environnements collaboratifs Neacuteanmoins le challenge drsquoune

bonne gestion au sein drsquoun environnement collaboratif est accentueacute quand on rajoute agrave ce dernier le

caractegravere social

Une variante sociale drsquoun environnement collaboratif de travail est appeleacute Reacuteseau social drsquoen-

treprise ou ldquoRSErdquo Un RSE est fondeacute sur les eacutechanges au sein drsquoenvironnements collaboratifs dans

un cadre professionnel La derniegravere deacutecennie a connu une eacutemergence assez importante des plates-

formes deacutedieacutees agrave cette nouvelle dimension des reacuteseaux sociaux et de nombreux reacuteseaux sociaux

drsquoentreprises ont vu le jour Parmi les plus connus on trouve Yammer 1 Socialtext 2 Tibbr 3 eXo 4

OpenPaaS 5 Noodle 6 etc Une revue complegravete se trouve dans [48]

Cette thegravese a eacuteteacute reacutealiseacutee dans le cadre du projet industriel OpenPaaS en collaboration avec la

socieacuteteacute Linagora Eacutediteur de logiciels speacutecialiseacute dans lrsquoOpen source Linagora a inteacutegreacute le marcheacute

des reacuteseaux sociaux drsquoentreprise avec sa plate-forme collaborative ldquoOpenPaaSrdquo et la deacutefinit comme

suit OpenPaaS est une plate-forme complegravete permettant de construire et de deacuteployer des applications

en srsquoappuyant sur des technologies eacuteprouveacutees messagerie collaborative inteacutegration (Enterprise Service

Bus) et Business Process Management (BPM) OpenPaaS est destineacutee aux applications collaboratives

drsquoentreprises deacuteployeacutees dans des Clouds hybrides (priveacute publique) En drsquoautres termes OpenPaaS est

une plate-forme collaborative de type PaaS 7 [120] qui permet agrave plusieurs entreprises de collaborer

dans le cadre drsquoun RSE

Comme le montre la figure 11 une autre particulariteacute des RSEs en geacuteneacuteral et OpenPaaS en par-

ticulier concerne la dimension ubiquitaire de tels environnements [158 135] dans la mesure ougrave

plusieurs peacuteripheacuteriques peuvent ecirctre utiliseacutes en tant que point drsquoaccegraves au RSE Agrave titre drsquoexemple

nous avons les smartphones les tablettes les ordinateurs portables les assistants numeacuteriques per-

1 httpswwwyammercom2 httpwwwsocialtextcom3 httpwwwtibbrcom4 httpwwwexoplatformcomcompanyenresource-center5 httpsresearchlinagoracomdisplayopenpaasOpen+PaaS+Overview6 httpsvialectcom7 Platform-as-a-Service

14

12 Contexte geacuteneacuteral

sonnels (Pocket PC) les ordinateurs de bureau les serveurs les services web etc Par ailleurs et drsquoun

point de vue plus technique OpenPaaS permet agrave plusieurs partenaires drsquoheacuteberger des ressources des

services ainsi que des processus dans une PaaS collaborative

FIGURE 11 ndash Aperccedilu global sur la conception drsquoOpenPaaS et ses diffeacuterents services [1]

Dans la section suivante nous preacutesentons le contexte geacuteneacuteral dans lequel ont eacuteteacute reacutealiseacutes les

travaux de cette thegravese


Depuis la derniegravere deacutecennie les plates-formes collaboratives socioprofessionnelles ont changeacute le

comportement des entreprises en matiegravere de gestion de la collaboration interentreprises Ce chan-

gement srsquoest montreacute agrave travers une faciliteacute de communication due avant tout aux nouvelles techno-

logies de gestion des ressources et de lrsquoinformation en particulier le Cloud Computing En effet en

plus drsquoavoir porteacute les technologies de lrsquoinformation agrave de tregraves grandes eacutechelles le Cloud-Computing a

permis de promouvoir de nouvelles maniegraveres de collaborer agrave travers la communication et le partage

de services de ressources et drsquoinformations Il est deacutesormais possible de partager des donneacutees entre

des applications deacuteployeacutees dans le Cloud et des bases de connaissances drsquoentreprises [1]

Par exemple on peut citer le partage de ressources au moyen de parties tierces agrave travers des

plate-formes deacutedieacutees comme GitHub 8 Dropbox 9 ou Agora 10 Par ailleurs nous avons eacutegalement le

microblogging qui consiste agrave eacutechanger des informations en instantaneacute et agrave grande eacutechelle agrave travers

des cercles (Google+) ou des Hashtag (Twitter) La principale motivation derriegravere ces innovations

est de simplifier davantage tout obstacle technologique susceptible de ralentir le processus drsquoeacutechange

8 httpwwwgithubcom9 httpwwwdropboxcom

10 httpwwwagora-projectnet

15


collaboratif de ressources entre des entiteacutes heacuteteacuterogegravenes et distribueacutees

Un RSE est principalement composeacute drsquoorganisations professionnelles Une organisation est lrsquoabs-

traction de tout type drsquoentreprise fondeacutee sur la collaboration entre multiples membres pour des

objectifs communs Une organisation peut eacutegalement faire reacutefeacuterence agrave un domaine reacuteunissant plu-

sieurs entiteacutes interagissant dans un cadre coopeacuteratif eg le domaine universitaire Pour lever toute

ambiguiumlteacute de langage nous geacuteneacuteralisons lrsquoutilisation du terme ldquoentrepriserdquo pour deacutesigner tout type

drsquoorganisation et de domaine

Dans un environnement collaboratif restreint une confiance mutuelle peut ecirctre eacutetablie entre

les partenaires agrave propos de lrsquoeacutechange drsquoinformations les conduisant agrave la formation drsquoun cercle de

confiance commun Ce genre de cercle de confiance est reacutefeacuterenceacute dans la litteacuterature par le terme

feacutedeacuteration [181] Ainsi nous consideacuterons OpenPaaS comme eacutetant un environnement de feacutedeacuteration

En effet lrsquoaspect collaboratif drsquoOpenPaaS repose principalement sur lrsquoideacutee de creacuteer des Communauteacutes

virtuelles pour rassembler diffeacuterentes entreprises Ceci vise agrave faciliter les interactions entre diffeacuterents

acteurs ayant des compeacutetences compleacutementaires en les reacuteunissant autours de projets collaboratifs

communs

Pour reacutesumer nous consideacuterons OpenPaaS RSE comme eacutetant un environnement feacutedeacutereacute distribueacute

dynamique et heacuteteacuterogegravene Ces proprieacuteteacutes sont illustreacutees sur la figure 12 Cette figure deacutecrit le cadre

geacuteneacuteral des communauteacutes dans le RSE OpenPaaS dans lequel plusieurs entreprises collaborent au

sein de la mecircme communauteacute De nouvelles entreprises avec de nouveaux acteurs et ressources

peuvent agrave tout moment rejoindre la communauteacute de collaboration Au niveau de chaque entreprise

des acteurs gegraverent les ressources de lrsquoentreprise pour les eacutechanger avec drsquoautres acteurs appartenant agrave

des entreprises partenaires au sein de la communauteacute en question Ces ressources peuvent changer agrave

tout moment elle peuvent ecirctre partageacutees avec de nouveaux acteurs supprimeacutees modifieacutees etc Drsquoun

point de vue seacutecuriteacute chaque entreprise gegravere agrave sa maniegravere les identiteacutes et les accreacuteditions drsquoaccegraves agrave ses

ressources (IAM ldquoIdentity Access Managementrdquo) Cela met en eacutevidence lrsquoheacuteteacuterogeacuteneacuteiteacute omnipreacutesente

au sein de la communauteacute en matiegravere de gestion de lrsquointeacutegriteacute et de la confidentialiteacute des ressources

collaboratives

Dans la section suivante nous introduisons les concepts fondamentaux lieacutes agrave la gestion de la

seacutecuriteacute des eacutechanges de ressources et drsquoinformations dans les environnements collaboratifs

13 La seacutecuriteacute dans un RSE

La seacutecuriteacute est lrsquoun des aspects majeurs drsquoune bonne gestion au sein drsquoun environnement collabo-

ratif socioprofessionnel Ainsi dans de tels environnements agrave lrsquoimage de OpenPaaS les besoins en

termes de seacutecuriteacute restent classiques agrave savoir la gestion des identiteacutes (Authentication) le controcircle

drsquoaccegraves (Authorization) et la supervision (Audit) Ces services sont reacutefeacuterenceacutes dans la litteacuterature sous

lrsquoacronyme AAA [65 66 134]

16


ressources

ressourcesressources

EntrepriseY EntrepriseZ

EntrepriseX

Eacutechange de ressourcesservices

IAM

IAMIAM

OpenPaaS RSE

FIGURE 12 ndash Vue globale sur une communauteacute OpenPaaS

131 Authentification

Lrsquoauthentification est souvent le premier volet de la protection de ressources vis-agrave-vis drsquoentiteacutes

ayant une identification numeacuterique Lrsquoauthentification consiste agrave veacuterifier lrsquoauthenticiteacute de lrsquoidentiteacute

drsquoun utilisateur agrave travers des identifiants que ce dernier fournit au systegraveme eg loginmot-de-passe

Dans une proceacutedure drsquoauthentification les identifiants drsquoun utilisateur sont compareacutes avec ceux sto-

ckeacutes dans le systegraveme Si une identiteacute stockeacutee correspond aux identifiants fournis par lrsquoutilisateur ce

dernier sera alors authentifieacute Dans le cas contraire lrsquoacteur ne sera pas authentifieacute Techniquement

plusieurs dispositifs peuvent ecirctre utiliseacutes dans la proceacutedure drsquoauthentification agrave savoir la meacutemoire

de lrsquoutilisateur (Loginmot-de-passe code pin etc) les systegravemes de codage aleacuteatoire (envoi drsquoun

sms sur le teacuteleacutephone portable personnel) ou les proceacutedeacutes biomeacutetriques (empreinte digitale recon-

naissance vocalereacutetinienne etc)

Drsquoautres meacutecanismes drsquoauthentification avec des configurations plus avanceacutees existent comme

OAuth [110] OpenID [162] ou SAML [90] 11 dont certains tregraves adapteacutes aux environnements distri-

bueacutes et feacutedeacutereacutes Ces meacutecanismes (ou protocoles) se basent sur le principe drsquoauthentification unique

Lrsquoauthentification unique (SSO) permet agrave un utilisateur de srsquoauthentifier une seule fois pour acceacuteder

agrave de multiples services distants proteacutegeacutes par le mecircme protocole drsquoauthentification unique utiliseacute (ie

lors de la premiegravere authentification unique de lrsquoutilisateur) Dans un environnement collaboratif

lrsquoauthentification unique peut ecirctre tregraves inteacuteressante En effet nous sommes dans un environnement

distribueacute qui regroupe plusieurs entreprises chacune proteacutegeant ses ressources drsquoune maniegravere indeacute-

pendante

11 Plus de deacutetails sur ces meacutecanismes seront preacutesenteacutes dans le chapitre (cf Eacutetat de lrsquoart)

17


132 Autorisation

Bien que lrsquoauthentification soit une phase importante pour la protection de ressources numeacute-

riques elle reste insuffisante notamment dans un environnement RSE tel que OpenPaaS En effet

lrsquoauthentification permet (dans un cas optimal 12) de veacuterifier que lrsquoidentiteacute de lrsquoacteur qui reacuteclame

lrsquoaccegraves derriegravere une requecircte est la bonne mais ne garantit pas que cet acteur accegravede seulement aux

ressources qui lui sont autoriseacutees Plus preacuteciseacutement nous sommes dans un environnement multi-

acteurs dans lequel sont partageacutees plusieurs ressources appartenant agrave diffeacuterents acteurs (ou entre-

prises) Par conseacutequent nous avons besoin de lier chaque ressource agrave son proprieacutetaire et eacuteventuelle-

ment ses collaborateurs avec qui il la partage et surtout de srsquoassurer que seuls les acteurs autoriseacutes y

auront accegraves Pour reacutesumer dans un environnement collaboratif social (ie ouvert) toute ressource

partageacutee est par deacutefaut interdite drsquoaccegraves agrave tous les acteurs agrave lrsquoexception de ceux qui ont beacuteneacuteficieacute

drsquoune autorisation drsquoaccegraves deacutefinie par le proprieacutetaire de la ressource en question et veacuterifieacutee par le

systegraveme La proceacutedure drsquoautorisation se charge de cette tacircche de veacuterification de droits drsquoaccegraves En

drsquoautres termes la proceacutedure drsquoautorisation deacutetermine qui a accegraves agrave quoi et comment et ce au moyen

de permissions (ou autorisation) drsquoaccegraves preacutedeacutefinies impliquant principalement le sujet lrsquoobjet et

lrsquoaction

Une autorisation drsquoaccegraves est donc une description drsquoun droit drsquoaccegraves en faveur drsquoun acteur donneacute

sur une ressource donneacutee avec une action preacutecise Cette description est la plus petite uniteacute de lrsquoen-

semble des accords qui reacutegissent les interactions entre diffeacuterents utilisateurs dans un systegraveme col-

laboratif Dans ce contexte un accord est appeleacute une politique qui est baseacutee sur le regroupement

de regravegles de controcircle drsquoaccegraves Cependant une regravegle nrsquoest pas toujours synonyme drsquoautorisation car

une regravegle peut eacutegalement ecirctre deacutefinie pour interdire lrsquoaccegraves agrave un acteur donneacute Par conseacutequent une

politique peut eacutegalement rejeter une requecircte de demande drsquoaccegraves

Dans une communauteacute RSE le principal sceacutenario de consommation (ie drsquoutilisation) drsquoune res-

source est deacuteclencheacute par un acteur au moyen drsquoune requecircte de demande drsquoaccegraves qui sera confronteacutee

par le meacutecanisme drsquoautorisation aux politiques de controcircle drsquoaccegraves enregistreacutees dans le systegraveme Si

les attributs de la requecircte (ie la cible de la requecircte) correspondent agrave ceux drsquoune regravegle drsquoautorisation

du systegraveme la requecircte sera approuveacutee donnant ainsi le droit drsquoaccegraves agrave lrsquoacteur en question sinon la

requecircte sera rejeteacutee Cela signifie par ailleurs que dans le contexte de communauteacute de collaboration

chaque partage de ressource neacutecessite la deacutefinition drsquoun droit drsquoaccegraves preacutecisant lrsquoacteur autoriseacute (le

sujet) agrave y acceacuteder et de quelle maniegravere (lrsquoaction)

Par ailleurs les besoins en matiegravere drsquoautorisation dans un contexte RSE srsquoeacutetendent agrave de nou-

velles formes de collaboration comme crsquoest le cas pour la deacuteleacutegation Une deacuteleacutegation est un transfert

temporaire des droits drsquoaccegraves drsquoun acteur chargeacute de certaines tacircches agrave un autre acteur pour les ac-

complir Dans cette optique on distingue la nature eacutepheacutemegravere drsquoun tel transfert de droits qui doit ecirctre

baseacute sur la notion de temps En outre cette forme drsquoautorisation temporaire est eacutetroitement lieacutee agrave

la confiance Plus preacuteciseacutement pour qursquoun acteur permette agrave un autre drsquoagir pour son compte une

forme de confiance deacutefinie par un lien professionnel ou social est forceacutement preacutesente entre les deux

12 Pas de deacutefaillance du systegraveme de gestion des identiteacutes et de lrsquoauthentification

18


acteurs En effet dans un cadre professionnel la confiance peut faire reacutefeacuterence agrave plusieurs aspects

collaboratifs tels que les compeacutetences professionnelles la bonne reacuteputation la fiabiliteacute etc Lrsquoaspect

de confiance est traiteacute sous la sphegravere du dernier A des services AAA agrave savoir lrsquoAudit

133 Audit et gouvernance

La confiance professionnelle est monitoreacutee au moyen de la supervision (ou monitoring) du com-

portement des acteurs de collaboration Plus preacuteciseacutement la supervision est un processus de suivi

et drsquoanalyse des traces (ou lrsquohistorique) drsquointeractions de chaque acteur Lrsquohistorique drsquointeraction in-

clut des fichiers logs des messages ou le temps drsquoutilisation de ressources et les reacutesultats drsquoanalyse

peuvent ecirctre exploiteacutes dans diverses domaines notamment dans la seacutecuriteacute dans les eacutetudes finan-

ciegraveres les eacutetudes des tendances sociales Dans cette thegravese nous exploitons lrsquohistorique drsquointeraction

drsquoun acteur agrave des fins de seacutecuriteacute

Drsquoun point de vue seacutecurisation des eacutechanges collaboratifs de ressources nous mettons lrsquoaccent

sur la reacuteputation de chaque acteur afin drsquoeacutetudier ses diffeacuterents changements comportementaux et ce

drsquoune maniegravere dynamique et continue En effet le comportement drsquoun acteur est impreacutevisible dans

un contexte RSE Par exemple un acteur change brusquement drsquoattitude et procegravede agrave de nombreuses

tentatives drsquoaccegraves non-autoriseacutees sur des ressources deacuteployeacutees au sein de sa communauteacute En outre la

supervision peut ecirctre favorable aux entreprises afin de reacuteviser des autorisations drsquoaccegraves trop statiques

ou eacuteventuellement obsolegravetes

Lrsquoexploitation de la supervision du comportement des acteurs au profit des entreprises peut ecirctre

tregraves inteacuteressante car chaque entreprise sera ainsi en mesure drsquoadapter ses politiques de controcircle drsquoac-

cegraves par rapport aux eacutevolutions des reacuteputations des sujets externes 13 De la sorte chaque entreprise

peut deacuteleacuteguer la deacutefinition des autorisations simples (ie sujetobjetaction) agrave ses acteurs et avoir

par dessus un controcircle via des politiques plus abstraites Cela permettra de faciliter les eacutechanges

collaboratifs en simplifiant la proceacutedure de partage de ressources Cela dit consideacuterer la confiance

comme unique paramegravetre peut srsquoaveacuterer insuffisant pour lrsquoentreprise afin de controcircler les autorisations

de partage de ressources drsquoune maniegravere agrave la fois efficace et abstraite

Imaginons qursquoun acteur fasse une erreur dans la deacutefinition drsquoune autorisation drsquoaccegraves et se trompe

par exemple de sujet beacuteneacuteficiaire Ainsi pour lrsquoentreprise (proprieacutetaire de la ressource) lrsquoimpact drsquoun

accegraves non-autoriseacute sur lrsquointeacutegriteacute et la confidentialiteacute de la ressource va deacutependre de lrsquoimportance

(sensibiliteacute) de cette derniegravere Par conseacutequent agrave lrsquoimage de ce dernier paramegravetre de sensibiliteacute de la

ressource il est possible que drsquoautres paramegravetres soient aussi importants Pour une telle hypothegravese il

est neacutecessaire drsquoidentifier les paramegravetres les plus pertinents pour le controcircle drsquoaccegraves dans le contexte

des RSEs et les combiner par la suite Un meacutecanisme de gestion du risque [151] drsquoune requecircte de

demande drsquoaccegraves peut ecirctre un bon support pour mettre en œuvre (ensemble) les paramegravetres recher-

cheacutes Le risque peut ecirctre consideacutereacute comme eacutetant la probabiliteacute drsquoune menace et son impact sur le

systegraveme

13 Appartenant agrave drsquoautres entreprises de la communauteacute dont certaines peuvent ecirctre des concurrentes ie conflitdrsquointeacuterecircts

19


134 Synthegravese

En reacutesumeacute nous avons travailleacute dans le cadre de cette thegravese sur la modeacutelisation et la reacutealisa-

tion drsquoun systegraveme de seacutecuriteacute destineacute aux plate-formes collaboratives sous forme de reacuteseaux sociaux

drsquoentreprise Ce systegraveme vise principalement agrave controcircler lrsquoaccegraves drsquoune maniegravere dynamique aux res-

sources collaboratives vis-agrave-vis des identiteacutes numeacuteriques Par conseacutequent notre systegraveme est fondeacute

sur un module de gestion interopeacuterable et feacutedeacutereacutee des identiteacutes numeacuteriques un module de controcircle

drsquoaccegraves flexible et enfin un module de monitoring qui permet drsquoeacutevaluer la confiance numeacuterique des

entiteacutes actives et ce afin de prendre en compte lrsquoaspect dynamique du module de controcircle drsquoaccegraves

Dans la section suivante nous allons reacutesumer nos solutions proposeacutees par rapport au contexte et

objectifs de cette thegravese

14 Reacutesumeacute des contributions de la thegravese

Dans cette section nous donnerons un aperccedilu sur les diffeacuterentes contributions proposeacutees dans le

cadre de cette thegravese Les probleacutematiques ayant conduit agrave ces contributions seront deacutetailleacutees dans le

chapitre suivant (cf Probleacutematique et motivations) Nos contributions couvrent les trois aspects

Authentification Autorisation et Audit Pour la partie Authentification nous nous sommes baseacutes sur

une architecture de collaboration adapteacutee aux communauteacutes RSEs pour la conception drsquoune feacutedeacutera-

tion interopeacuterable en matiegravere drsquoauthentification interentreprises Concernant la partie Autorisation

nous avons proposeacute un meacutecanisme complet (conception et mise en œuvre) de controcircle drsquoaccegraves Enfin

la partie Audit inclut un meacutecanisme de gestion du risque baseacute principalement sur une eacutevaluation en

temps reacuteel de la confiance et la reacuteputation des acteurs collaboratifs

141 Conception drsquoarchitecture et gestion des identiteacutes -Authentification-

La collaboration dans OpenPaaS est fondeacutee sur la notion de communauteacute qui consiste en un

cercle regroupant diffeacuterents types de ressources ainsi que des acteurs et des entreprises de multiples

compeacutetences et disciplines En effet OpenPaaS est lrsquoensemble qui regroupe lrsquointeacutegraliteacute des commu-

nauteacutes de collaboration En outre une ressource un acteur ou une entreprise peuvent faire partie

de plusieurs communauteacutes en mecircme temps Cependant drsquoun point de vue seacutecuriteacute nous consideacuterons

que chaque communauteacute est indeacutependante en matiegravere de gestion des accreacuteditations des identiteacutes

des acteurs vis-agrave-vis des ressources collaboratives Pour la gestion drsquoidentiteacute nous avons tireacute profit

de la confiance qui lie les entreprises dans le cadre collaboratif et professionnel en lrsquooccurrence la

communauteacute Cette confiance se traduit par une deacuterogation (dispense) dans les proceacutedures drsquoau-

thentification (souvent tregraves strictes) agrave lrsquoeacutegard des identiteacutes drsquoacteurs qui appartiennent aux autres

entreprises de la communauteacute Cette notion de confiance interentreprises est appeleacutee feacutedeacuteration

Une gestion feacutedeacutereacutee drsquoidentiteacutes est synonyme drsquoune confiance mutuelle qui srsquoinstalle entre les en-

treprises concernant lrsquoidentification des acteurs Par exemple le service Eduroam ldquoeducation roamingrdquo

dans le domaine acadeacutemique permet agrave un eacutetudiant de lrsquoUniversiteacute de Lorraine drsquoavoir accegraves agrave internet

dans drsquoautres universiteacutes (conventionneacutees) en srsquoidentifiant au moyen de son identiteacute de lrsquoUniversiteacute de

20


Lorraine Cela signifie que les autres universiteacutes partenaires de lrsquoUniversiteacute de Lorraine font confiance

agrave cette derniegravere concernant lrsquoidentification de son eacutetudiant Pour reacutesumer nous consideacuterons chaque

communauteacute dans OpenPaaS comme une feacutedeacuteration Neacuteanmoins faute drsquoincompatibiliteacute technique

les partenaires dans un cadre feacutedeacutereacute sont obligeacutes drsquoutiliser le mecircme protocole de gestion drsquoiden-

titeacute [2] Par exemple un jeton drsquoauthentification issu du protocole OpenID ne peut pas ecirctre veacuterifieacute

par un autre protocole drsquoauthentification comme OAuth 14 Cependant dans notre contexte les com-

munauteacutes sont heacuteteacuterogegravenes ce qui signifie qursquoelles nrsquoutilisent pas forceacutement les mecircmes protocoles

pour la gestion de lrsquoauthentification Ainsi notre premiegravere contribution srsquoest focaliseacutee sur la gestion

de cette heacuteteacuterogeacuteneacuteiteacute en proposant un meacutecanisme drsquoauthentification interopeacuterable qui permettra agrave

chaque entreprise de garder ses preacutefeacuterences vis-agrave-vis du protocole drsquoauthentification utiliseacute pour la

gestion des identiteacutes numeacuteriques collaboratives de ses acteurs Pour cela nous nous sommes baseacutes

sur un outil appeleacute ldquoLemonLDAPrdquo que nous avons adapteacute agrave notre architecture afin qursquoil puisse couvrir

cette heacuteteacuterogeacuteneacuteiteacute Cette contribution a eacuteteacute publieacutee dans la confeacuterence internationale I-ESA 14 [39]

Par ailleurs en matiegravere de gestion des identiteacutes et des accreacuteditations notre conception des feacute-

deacuterations tient compte des trois aspects suivants Premiegraverement la collaboration interopeacuterable sur le

long terme tient compte de lrsquoheacuteteacuterogeacuteneacuteiteacute omnipreacutesente au sein de chaque feacutedeacuteration Cela neacutecessite

drsquoun cocircteacute drsquoavoir au niveau de chaque feacutedeacuteration un service centraliseacute de gestion des ressources et

des autorisations et requiegravere drsquoun autre cocircteacute un faible couplage entre les entreprises et le RSE Enfin

la collaboration temporaire de courte dureacutee met lrsquoaccent sur la faciliteacute dans la gestion (inteacutegration

temporaire etou suppression) de nouveaux acteurs collaboratifs dans une communauteacute

Dans le contexte OpenPaaS nous consideacuterons ces trois proprieacuteteacutes comme eacutetant des besoins im-

portants sur le plan architectural Ils nous permettent de faire face agrave plusieurs enjeux tels que le

passage agrave lrsquoeacutechelle (fluiditeacute drsquoeacutechanges collaboratifs) lrsquointeropeacuterabiliteacute et la seacutecurisation de donneacutees

Pour reacutepondre agrave ces besoins nous nous sommes baseacutes sur une conception hybride des feacutedeacutera-

tions ie un compromis entre une configuration centraliseacutee et une configuration deacutecentraliseacutee drsquoar-

chitecture de collaboration Lrsquoideacutee est de centraliser la gestion des identiteacutes et des politiques et de

deacutecentraliser lrsquoheacutebergement des ressources physiques ainsi que la gestion des regravegles et politiques

drsquoautorisation drsquoaccegraves qui les reacutegissent au niveau des entreprises proprieacutetaires et leurs acteurs Ainsi

le deacuteploiement des ressources se fait au moyen drsquoune proceacutedure de virtualisation et lrsquoaccegraves sera

au niveau des serveurs de lrsquoentreprise proprieacutetaire La gestion centraliseacutee des identiteacutes a pour but de

rendre le controcircle drsquoaccegraves interopeacuterable vis-agrave-vis des diffeacuterentes entreprises faisant partie drsquoune mecircme

feacutedeacuteration de collaboration Cela permet drsquohomogeacuteneacuteiser la seacutemantique des attributs qui sont eacuteven-

tuellement initialement diffeacuterents au niveau de chaque entreprise et ce en accord avec le contexte de

la communauteacute en question Ainsi les attributs drsquoun utilisateur appartenant agrave une entreprise donneacutee

peuvent ecirctre facilement confronteacutes aux politiques des autres entreprises partenaires Quant agrave la vir-

tualisation et la deacutecentralisation des ressources collaboratives elles permettent agrave chaque entreprise

de garder le controcircle sur lrsquointeacutegriteacute et la confidentialiteacute de ses ressources collaboratives

14 Cet aspect sera davantage deacutetailleacute dans le chapitre cf Probleacutematique et motivations

21


142 Controcircle drsquoaccegraves et supervision -Autorisation et Audit-

Agrave la diffeacuterence des modegraveles classiques de controcircle drsquoaccegraves tels que ceux baseacutes sur lrsquoidentiteacute unique

de lrsquoacteur ou sur son rocircle le notre est baseacute sur un ensemble drsquoattributs qui permettent de deacutefinir le

profil de lrsquoacteur Ce choix nous a permis drsquoavoir une meilleure flexibiliteacute pour la deacutefinition des regravegles

de controcircle drsquoaccegraves

Dans notre modegravele de controcircle drsquoaccegraves nous avons deux niveaux de politiques agrave savoir le niveau

acteur (user-centric) et le niveau entreprise La politique de niveau acteur contient des regravegles deacutefinies

par un acteur pour chaque partage de ressource collaborative avec un autre acteur collaborateur La

regravegle deacutefinie par un acteur prend une forme simple impliquant le sujet (ie le collaborateur) la

ressource agrave partager et lrsquoaction autoriseacutee Agrave lrsquoinverse la politique eacutetablie au niveau de lrsquoentreprise est

plus geacuteneacuterique ie abstraite Ces politiques abstraites visent agrave controcircler les politiques de partage de

ressources deacutefinies par des acteurs Une politique drsquoentreprise se focalise davantage sur le contexte

de collaboration que sur chaque instance de partage de ressource Par conseacutequent pour chaque

requecircte de demande drsquoaccegraves les politiques des acteurs et des entreprises (impliquant le sujet de la

requecircte en question) sont combineacutees afin de prendre une deacutecision finale drsquoapprobation ou de rejet

drsquoune demande drsquoaccegraves Cette configuration du meacutecanisme de controcircle drsquoaccegraves permet drsquoun cocircteacute de

simplifier et drsquoacceacuteleacuterer la collaboration gracircce aux politiques acteurs et drsquoun autre cocircteacute de preacuteserver

lrsquoautonomie des entreprises en leur permettant de controcircler les politiques deacutefinies par leurs acteurs

Dans un RSE en geacuteneacuteral la plupart des acteurs collaboratifs sont des utilisateurs humains Un

utilisateur humain peut se tromper et par conseacutequent mal deacutefinir une regravegle de controcircle drsquoaccegraves

Cela peut ecirctre ducirc agrave sa non expertise en matiegravere de controcircle drsquoaccegraves ou tout simplement agrave un oubli

(voire mecircme une faute de frappe) Par conseacutequent il est important de veacuterifier la coheacuterence de toute

regravegle composant une politique deacutefinie au niveau de lrsquoacteur avant de la combiner avec la politique

drsquoentreprise En effet une eacuteventuelle incoheacuterence dans les politiques peut mener le systegraveme agrave des

eacutetats drsquoinseacutecuriteacute dus agrave des erreurs de deacutecisions Crsquoest pourquoi nous avons conccedilu notre modegravele de

controcircle drsquoaccegraves agrave base drsquoun langage formel baseacute sur la logique temporelle du premier ordre Event-

Calculus avec son raisonneur Dec-Reasoner 15 comme moteur drsquoeacutevaluation et veacuterification automatique

des politiques de controcircle drsquoaccegraves En outre lrsquoaspect temporelle de la logique Event-Calculus nous a

permis de modeacuteliser les permissions temporaires ie les deacuteleacutegations de droits drsquoaccegraves aux ressources

collaboratives

Le contexte de lrsquoenvironnement de collaboration est consideacutereacute sous le volet du controcircle drsquoaccegraves

par le biais de lrsquoeacutevaluation du risque des requecirctes Ce dernier inclut la menace encourue agrave travers

la requecircte du sujet lrsquoimpact provoqueacute dans le cas ougrave la ressource en question est compromise et la

vulneacuterabiliteacute du meacutecanisme drsquoauthentification utiliseacute pour certifier lrsquoidentiteacute du demandeur drsquoaccegraves

Le premier facteur concerne la menace que repreacutesente le sujet drsquoune requecircte de demande drsquoaccegraves

Cette menace est mesureacutee sur la base drsquoune estimation de la confiance numeacuterique du sujet agrave travers

la supervision de son comportement dans sa communauteacute Le deuxiegraveme facteur se focalise sur lrsquoim-

pact drsquoun eacuteventuel accegraves non autoriseacute sur la ressource demandeacutee Lrsquoimpact est mesureacute par rapport agrave

15 ht tp decreasonersource f or genet

22


lrsquoimportance de la ressource agrave travers le nombre drsquoacteurs impliqueacutes dans la consommation etou la

proprieacuteteacute de la ressource Le dernier facteur pour lrsquoeacutevaluation du risque est relatif agrave la vulneacuterabiliteacute

de lrsquoenvironnement collaboratif La vulneacuterabiliteacute consiste en un indice de fiabiliteacute de lrsquoauthenticiteacute

des identiteacutes des sujets issus de leurs entreprises respectives En drsquoautres termes la vulneacuterabiliteacute drsquoun

environnement est implicitement relieacutee au meacutecanisme drsquoauthentification Par exemple lrsquoauthenticiteacute

drsquoune identiteacute geacutereacutee avec un meacutecanisme Pin est moins fiable qursquoune validation en deux eacutetapes 16

Sur la base de cette reacuteflexion et ces paramegravetres nous avons proposeacute notre meacutetrique drsquoeacutevaluation du

risque des requecirctes dans la feacutedeacuteration collaborative

Par ailleurs notre modegravele de controcircle drsquoaccegraves tient compte du contexte drsquoune maniegravere plus ap-

profondie et ce par le biais drsquoune approche eacuteveacutenementielle Nos regravegles sont deacutefinies sur la base du

paradigme ECA Event-Condition-Action [91] Cela nous a permis de modeacuteliser les diffeacuterents chan-

gements dynamiques en temps reacuteel des eacutetats des objets au sein du contexte Ces changements sont

dus aux flux continus drsquoeacuteveacutenements agrave travers le temps Ces changements sont dans notre modegravele

directement impliqueacutes dans les deacutecisions de controcircle drsquoaccegraves comme crsquoest le cas pour les deacuteleacutegations

Ces diffeacuterentes contributions ont eacuteteacute publieacutees dans plusieurs confeacuterences internationales [199

40 38]

143 Mise en œuvre

Le prototype de gestion des identiteacutes numeacuteriques et leurs autorisations pour la plate-forme colla-

borative sous forme de reacuteseau social drsquoentreprise agrave eacuteteacute valideacute et mis en œuvre dans le cadre du projet

OpenPaaS Les principaux composants logiciels sont mis en œuvre en tant que services web RESTfull

pour srsquoadapter aux plates-formes baseacutees sur des architectures Cloud Le premier composant agrave savoir

lrsquooutil de gestion des identiteacutes a eacuteteacute mis en œuvre sur la base de lrsquooutil LemonLDAP NG

DEC Raisonneur

Controcircle daccegraves

Confiance

Authentification

RegraveglesPolitiques

FIGURE 13 ndash Prototype vue globale

Le second composant concerne la gestion du controcircle drsquoaccegraves Ce dernier a eacuteteacute mis en œuvre

16 ht tp enwikipediaor gwikiTwominus step_veri f icat ion

23


en tant que service web agrave base du raisonneur Event-Calculus ldquoDec-reasonerrdquo utilisant la base de

donneacutees MongoDB pour le stockage des regravegles de controcircle drsquoaccegraves Enfin le dernier composant de

supervision et drsquoeacutevaluation de confiance est aussi mis en œuvre sous forme de service web au niveau

de chaque communauteacute Ce composant se base sur les informations historiques des utilisateurs drsquoune

communauteacute pour calculer et mettre agrave jour les valeurs de confiance numeacuterique de chaque acteur Ces

informations historiques sont stockeacutees sous forme de fichiers logs au niveau de la base de donneacutees

ougrave sont stockeacutes les attributs des identiteacutes des acteurs internes de la communauteacute

15 Reacutesumeacute du sujet de la thegravese

Cette thegravese porte sur la seacutecuriteacute des eacutechanges collaboratifs au sein drsquoun reacuteseau social drsquoentre-

prise ldquoRSErdquo Un reacuteseau social drsquoentreprise est un environnement collaboratif dans lequel le principal

objectif est la facilitation drsquoeacutechanges drsquoinformations et de ressources entre des organisations pro-

fessionnelles Par conseacutequent lrsquoenvironnement RSE introduit plusieurs proprieacuteteacutes que nous devons

prendre en consideacuteration dans la deacutefinition de notre probleacutematique de conception drsquoun systegraveme de

seacutecuriteacute drsquoeacutechanges collaboratifs Ces particulariteacutes du RSE concernent notamment

bull la faciliteacute et lrsquoagiliteacute de partage de ressources

bull lrsquoenjeu tregraves important concernant la confidentialiteacute des ressources entre des entreprises concur-

rentes (ie conflit drsquointeacuterecircts)

bull la dynamiciteacute des proprieacuteteacutes des entiteacutes de collaboration (ie acteurs et ressources)

bull lrsquoheacuteteacuterogeacuteneacuteiteacute des diffeacuterentes entreprises en matiegravere drsquoadministration

bull la sous traitance des activiteacutes neacutecessitant une continuiteacute drsquoexeacutecution dans le temps (ie deacuteleacute-

gation)

Nos objectifs de seacutecuriteacute se focalisent principalement sur la gestion des autorisations drsquoaccegraves

Cette gestion requiert la gestion des identiteacutes numeacuteriques (qui seront par la suite accreacutediteacutees) et

srsquoeacutetend par ailleurs sur une supervision des comportements des entiteacutes de collaboration au sein

des environnements de collaboration Ces objectifs sont contextualiseacutes dans le projet OpenPaaS qui

consiste agrave mettre en œuvre un RSE sur la base drsquoune plateforme PaaS collaborative Par conseacutequent

nous devons inteacutegrer nos solutions de seacutecuriteacute dans la plateforme OpenPaaS sous forme de services

web 17

16 Organisation de la thegravese

Dans cette thegravese nous mettons en œuvre un meacutecanisme de seacutecuriteacute drsquoeacutechanges collaboratifs dans

les environnements collaboratifs de type reacuteseaux sociaux drsquoentreprises RSEs Nous avons deacuteveloppeacute

un meacutecanisme de controcircle drsquoaccegraves ainsi qursquoun meacutecanisme drsquoauthentification et feacutedeacuteration drsquoidentiteacutes

numeacuteriques favorables aux contextes RSE

17 APIs

24


Outre la conception drsquoune architecture drsquoauthentification feacutedeacutereacutee et interopeacuterable dans un envi-

ronnement ougrave lrsquoheacuteteacuterogeacuteneacuteiteacute en matiegravere de meacutecanismes drsquoauthentification est omnipreacutesente lrsquoorigi-

naliteacute de cette thegravese est le deacuteveloppement drsquoun meacutecanisme de controcircle drsquoaccegraves flexible et dynamique

baseacute sur un formalisme logique 18 qui respecte lrsquoautonomie des entreprises 19 et qui est capable de

geacuterer les deacuteleacutegations 20

Ce meacutemoire est ainsi organiseacute

bull Dans le chapitre 1 nous preacutesentons le contexte geacuteneacuteral dans lequel les travaux de cette thegravese

ont eacuteteacute reacutealiseacutes agrave savoir les environnements collaboratifs de type reacuteseaux sociaux drsquoentre-

prise Nous commenccedilons drsquoabord par une introduction sur les environnements collaboratifs

en geacuteneacuteral et les reacuteseaux sociaux drsquoentreprise en particulier Ensuite nous abordons la seacutecuriteacute

dans ces environnements et ce sur trois aspects agrave savoir lrsquoauthentification lrsquoautorisation et

le monitoring Puis nous preacutesentons un reacutesumeacute des contributions de cette thegravese Enfin nous

preacutesentons un reacutesumeacute du sujet de cette thegravese intituleacutee La seacutecuriteacute des ressources collaboratives

dans les reacuteseaux sociaux drsquoentreprise

bull Dans le chapitre 2 nous deacutetaillons la probleacutematique de cette thegravese Mais drsquoabord nous com-

menccedilons par donner des exemples de motivations inspireacutes de cas reacuteels de collaboration avec

des sceacutenarios qui mettent en eacutevidence certaines failles de seacutecuriteacute dans le contexte RSE

Concernant la probleacutematique nous clarifions les challenges de nos objectifs de seacutecuriteacute (cf

reacutesumeacute du sujet de la thegravese) par rapport au contexte RSE et ce pour chacun des trois aspects

de seacutecuriteacute (authentification autorisation et audit) preacutesenteacutes dans le chapitre 1

bull Dans le chapitre 3 nous allons preacutesenter un eacutetat de lrsquoart portant sur des travaux ayant eacuteteacute

reacutealiseacutes dans des contextes similaires au notre agrave savoir la gestion des identiteacutes numeacuteriques

et des autorisations de controcircle drsquoaccegraves dans les environnements collaboratifs Nous preacutesen-

terons par ailleurs des concepts que nous avons utiliseacutes dans lrsquoeacutelaboration de nos solutions

bull Dans le chapitre 4 nous deacutetaillons nos contributions sur la gestion de lrsquoauthentification En

premier lieu nous preacutesentons les trois types de collaboration dans les environnements col-

laboratifs distribueacutes qui nous ont inspireacutes pour la conception de notre architecture de colla-

boration sur lrsquoaspect de gestion et administration des identiteacutes numeacuteriques et des ressources

collaboratives En second lieu nous abordons lrsquoaspect de feacutedeacuteration des identiteacutes et la gestion

de lrsquoauthentification dans un environnement heacuteteacuterogegravene

bull Dans le chapitre 5 nous abordons la gestion du controcircle drsquoaccegraves aux ressources partageacutees au

sein des communauteacutes de collaboration RSE Cette partie englobe une repreacutesentation abs-

traite et une repreacutesentation formelle du modegravele de controcircle drsquoaccegraves En outre nous abordons

les regravegles de controcircle drsquoaccegraves temporaires ie les deacuteleacutegations

bull Dans le chapitre 6 nous allons aborder lrsquoeacutevaluation du risque drsquoune requecircte de demande

drsquoaccegraves Nous rappelons briegravevement en premier lieu le contexte et la motivation qui nous ont

orienteacute vers une conception drsquoun modegravele de controcircle drsquoaccegraves dynamique baseacute sur la gestion du

18 favorable agrave la veacuterification automatique des politiques de controcircle drsquoaccegraves19 en matiegravere de seacutecuriteacute de leurs ressources collaboratives20 permissions temporaires

25


risque Ensuite nous parlons du principe drsquoalignement des concepts standards de gestion du

risque avec ceux du controcircle drsquoaccegraves et les environnements collaboratifs RSE Nous finirons

avec une eacutetude expeacuterimentale qui illustre lrsquoapport du meacutecanisme de gestion du risque en

matiegravere de deacutecision de controcircle drsquoaccegraves

bull Par rapport agrave nos objectifs de seacutecuriteacute 21 le chapitre 7 srsquoinscrit dans le cadre du monitoring

ie la supervision des comportements des identiteacutes numeacuterique Dans ce chapitre nous allons

deacutetailler notre approche dynamique drsquoeacutevaluation de la reacuteputation et la confiance numeacuterique

des sujets de collaboration au sein des communauteacutes RSE En premier lieu nous allons in-

troduire le contexte avec les deacutefinitions permettant drsquoeacutelucider certaines notions et termes

utiliseacutes dans le cadre de ce chapitre Ensuite nous preacutesenterons nos algorithmes drsquoeacutevaluation

de la reacuteputation et de la confiance Avant de conclure nous illustrons lrsquoefficaciteacute de nos pro-

ceacutedures drsquoeacutevaluation de la reacuteputation et de la confiance agrave travers une eacutetude expeacuterimentale

dans laquelle nous observons lrsquoeacutevolution de la reacuteputation et de la confiance par rapport aux

comportements de sujets sur une succession de sessions collaboratives dans une communauteacute

de collaboration

bull Dans le chapitre 8 nous preacutesentons les diffeacuterentes APIs que nous avons deacuteveloppeacutees et inteacute-

greacutees dans le cadre de la plate-forme OpenPaaS RSE Il srsquoagit de trois composants proposeacutes

sous forme de service web pour la gestion de lrsquoauthentification de lrsquoautorisation et du moni-

toring Bien eacutevidemment lrsquoimplantation de ces trois services est inteacutegralement baseacutee sur les

concepts de seacutecuriteacute preacutesenteacutes dans les chapitres preacuteceacutedents

bull Enfin dans le chapitre 9 nous preacutesentons nos conclusions ainsi que quelques perspectives par

rapport aux problegravemes que nous avons traiteacutes

21 Authentification autorisation et monitoring

26

Chapitre 2


Sommaire

21 Introduction 27








26 Synthegravese 39

27 Conclusion 40

21 Introduction

De nos jours les reacuteseaux sociaux en ligne (ldquoOnline Social Networks OSNrdquo) connaissent une utili-

sation importante agrave lrsquoimage de Facebook Twitter QQ Youtube etc Par conseacutequent de nombreuses

recherches se sont focaliseacutees sur ce nouveau cadre conceptuel drsquoenvironnements collaboratifs dont

une bonne partie sur lrsquoaspect seacutecuriteacute la vie priveacutee et le controcircle drsquoaccegraves [49 69 20 50 177 180

62 31 175] En effet le concept drsquoun reacuteseau social consiste principalement en une plateforme qui

fournit des communauteacutes virtuelles pour les gens srsquointeacuteressant agrave un sujet particulier [74 150] ou

juste pour ecirctre connecteacutes ensemble afin drsquoeacutechanger des informations ou des fichiers multimeacutedia En

revanche de nouveaux enjeux ont attireacute lrsquoattention degraves que les professionnels se sont inteacuteresseacutes agrave

cette nouvelle tendance de collaboration agrave savoir les reacuteseaux sociaux drsquoentreprise ldquoRSErdquo

Un reacuteseau social drsquoentreprise est la variante sociale des environnements collaboratifs qui met

lrsquoaccent sur la faciliteacute drsquoeacutechange drsquoinformations et de services et ce au moyen de plateformes de

reacuteseautage social doteacutees de technologies favorisant la communication et le partage En effet agrave lrsquoimage

de lrsquointernationalisation des eacutequipes de collaboration un RSE permet avant tout drsquoeacutelargir le champ

27

Chapitre 2 Probleacutematique et motivations

Politiques

ressource

Base de politiques

Universiteacute

Communauteacute

Entreprise

Partage

FIGURE 21 ndash Community access control global view

de collaboration et de compeacutetences En outre un RSE permet drsquoeacuteviter les obstacles drsquoadministration

classique 22 qui ralentissent les eacutechanges drsquoinformations et de ressources entre des employeacutes issus de

diverses domaines et diffeacuterentes entreprises

Cette variante professionnelle des reacuteseaux sociaux agrave savoir le RSE preacutesente de nouveaux enjeux

notamment en matiegravere de seacutecurisation des ressources partageacutees vis-agrave-vis drsquoentiteacutes collaboratives ex-

ternes Par exemple nous avons les enjeux eacuteconomiques et concurrentiels qui requiegraverent beaucoup

de vigilance par rapport agrave la confidentialiteacute des informations et des ressources partageacutees

Dans ce qui suit nous allons eacutetudier la probleacutematique lieacutee agrave la seacutecurisation des eacutechanges colla-

boratifs dans un contexte RSE Nous allons en premier lieu aborder lrsquoaspect de conception drsquoarchi-

tecture Nous enchainerons avec la gestion des identiteacutes et de lrsquoauthentification car elle constitue

la premiegravere eacutetape de tout processus de protections de ressources (ie service AAA) Nous allons en-

suite nous tourner vers lrsquoaspect controcircle drsquoaccegraves et ce dans le but drsquoanalyser les besoins des RSEs en

matiegravere de gestion des accreacuteditations drsquoidentiteacutes numeacuteriques issues de diffeacuterentes entreprises Enfin

nous eacutetudierons les besoins pour un meacutecanisme de controcircle drsquoaccegraves lui permettront de srsquoadapter au

contexte RSE et ce dans le cadre de la supervision numeacuterique qui inclut la gestion de la confiance

et du risque Mais drsquoabord nous allons preacutesenter une eacutetude de cas pratique illustrant diffeacuterents sceacute-

narios ayant motiveacutes les challenges abordeacutes dans nos travaux de recherche

22 Exemple de motivation

Comme exemple de motivation nous avons consideacutereacute une communauteacute formeacutee en premier lieu

drsquoentreprise de deacuteveloppement de logiciels informatiques et drsquoune universiteacute La figure 21 donne

une vue globale sur un sceacutenario typique de collaboration socioprofessionnelle dans lequel un acteur

de la socieacuteteacute partage un document (eg description drsquoune offre de stage) avec une eacutetudiante de

lrsquouniversiteacute La ressource agrave partager est heacutebergeacutee dans les serveurs de lrsquoentreprise Nous justifierons

22 Proceacutedures bureaucratiques telles que le Deacutepocirct drsquoun dossier la validation par le responsable le retour etc

28


RessourceUniversiteacute

Communauteacute

Enterprise

CAS

OpenID

CAS

FIGURE 22 ndash Authentification heacuteteacuterogegravene dans une communauteacute

ce choix plus tard quand nous aborderons lrsquoaspect de conception de lrsquoarchitecture de collaboration

pour OpenPaaS

En premier lieu nous tenons agrave eacutelucider agrave travers un exemple le besoin non fonctionnel concernant

lrsquointeropeacuterabiliteacute en matiegravere de gestion drsquoidentiteacute Comme le montre la figure 22 lrsquoentreprise de

James utilise le meacutecanisme drsquoauthentification OpenID Lrsquouniversiteacute de Jessy utilise un gestionnaire

drsquoidentiteacute CAS Il est impeacuteratif que lrsquoidentiteacute de Jessy soit veacuterifieacutee et valideacutee aupregraves du meacutecanisme

drsquoauthentification de lrsquoentreprise de James afin que les deux acteurs puissent collaborer ensemble

Supposons maintenant que la phase drsquoauthentification soit accomplie avec succegraves deacuteclenchant

ainsi la phase de veacuterification de privilegraveges pour ce qui concerne lrsquoidentiteacute de Jessy Cependant dans le

domaine universitaire de Jessy le terme ldquograderdquo est utiliseacute pour faire reacutefeacuterence au statut de Jessy dans

son universiteacute tandis que dans lrsquoentreprise de James le terme utiliseacute pour faire reacutefeacuterence au statut

est le ldquorocirclerdquo La question qui se pose dans cette situation est comment lrsquoentreprise de James va-t-elle

consideacuterer le statut de Jessy pour lui attribuer une permission drsquoaccegraves existante Agrave travers cet exemple

nous essayons de mettre en eacutevidence lrsquoheacuteteacuterogeacuteneacuteiteacute des communauteacutes de collaboration dans Open-

PaaS En geacuteneacuteral le terme heacuteteacuterogeacuteneacuteiteacute est suivi par le terme ldquointeropeacuterabiliteacuterdquo qui cherche agrave pallier

les problegravemes provoqueacutes par lrsquoheacuteteacuterogeacuteneacuteiteacute

Pour illustrer davantage nos motivations cette fois sous lrsquoangle des besoins fonctionnels nous

enrichissons la premiegravere communauteacute avec de nouvelles entiteacutes (figure 23) en lrsquooccurrence une

entreprise de fourniture de produits alimentaires ainsi qursquoune agence de voyage Lrsquoentreprise de

29


communauteacute

ressources

ressources

ressources

Universiteacute

RestaurantJames

Bob

Jessy

Entreprise

Agence de voyage

Alice

ressources

FIGURE 23 ndash Architecture de collaboration vue drsquoensemble

fournitures alimentaires se charge de lrsquoapprovisionnement de produits alimentaires (eg fruits et

leacutegumes) pour les entreprises de la communauteacute avec des brochures tarifaires et politiques drsquoeacutevolu-

tion de prix qui diffegraverent en fonction de chaque entreprise partenaire Lrsquoagence de voyage se charge

de geacuterer les deacuteplacements du personnel des entreprises partenaires (voyage et seacutejour) et de proposer

eacutevidemment les prix les plus inteacuteressants Lrsquoacteur Bob repreacutesente lrsquoentreprise drsquoapprovisionnement

alimentaire et lrsquoactrice Alice repreacutesente lrsquoentreprise de gestion des voyages Ainsi au sein de la com-

munauteacute creacuteeacutee par James ces diffeacuterents acteurs interagissent en srsquoeacutechangeant diffeacuterents types de

ressources Nous envisageons les sceacutenarios suivants

bull Dans un premier sceacutenario le demandeur drsquoaccegraves se voit octroyer lrsquoaccegraves agrave une ressource parta-

geacutee par les deux parties qui gegraverent la ressource agrave savoir lrsquoacteur et lrsquoentreprise proprieacutetaires

bull Comme deuxiegraveme sceacutenario nous supposons que le systegraveme deacutetecte un comportement suspect

James tente drsquoacceacuteder aux brochures tarifaires proposeacutees par lrsquoentreprise de Bob pour les

entreprises drsquoAlice et de Jessy On suppose que James nrsquoa jamais tenteacute une telle initiative

auparavant Par conseacutequent le systegraveme deacuteduit dans un premier temps qursquoil srsquoagit drsquoune erreur

Cependant si James insiste le systegraveme peut soupccedilonner qursquoil srsquoest fait usurper son identiteacute

par un tiers malveillant eg une autre personne dans lrsquoentreprise

bull Par ailleurs nous supposons une deacutefaillance du systegraveme de controcircle drsquoaccegraves causeacutee par une ou

plusieurs regravegles obsolegravetes ou initialement mal deacutefinies Prenons le cas ougrave la sensibiliteacute drsquoune

30

23 Gestion des ressources et identiteacutes collaboratives

ressource collaborative change agrave travers le temps Imaginons dans un premier temps que

Carole une collegravegue de James partage un document qui contient du code source important

(ie confidentiel) avec Jessy pour son projet Plus tard la communauteacute srsquoagrandit davantage

et plusieurs deacuteveloppeurs logiciel integravegrent le projet de Jessy Ainsi Carole constate que la

confidentialiteacute et lrsquointeacutegriteacute de son document (code source) est en peacuteril Par conseacutequent elle

souhaite que certains acteurs soient bannis sur la base de leurs reacuteputations refleacuteteacutees par leurs

comportements respectifs

bull Supposons qursquoune autre menace soit reacuteveacuteleacutee par rapport agrave lrsquoauthenticiteacute des attributs drsquoiden-

titeacutes drsquoun acteur agrave travers le meacutecanisme utiliseacute au niveau de son entreprise pour la gestion

de lrsquoauthentification Comme exemple nous supposons que lrsquoentreprise drsquoAlice utilise comme

meacutecanisme drsquoauthentification le protocole Loginmot-de-passe Supposons que Alice parte en

vacances et se fasse remplacer par ldquoOscarrdquo Ainsi les tacircches drsquoAlice seront deacuteleacutegueacutees agrave Oscar

Cependant Oscar peut facilement se faire usurper son identiteacute car il utilise un nom drsquoutilisa-

teur ainsi qursquoun mot de passe triviaux


Avant tout il est neacutecessaire drsquoenvisager une conception drsquoarchitecture de collaboration pour les

communauteacutes du RSE Cette architecture va influencer la maniegravere dont les diffeacuterentes entiteacutes actives

vont pouvoir collaborer et eacutechanger les ressources Derriegravere cet eacutechange de ressource srsquoimpose une

gestion des identiteacutes des ressources ainsi que des accreacuteditations des identiteacutes sur les ressources Pour

cela deux proprieacuteteacutes sont importantes le passage agrave lrsquoeacutechelle et lrsquoautonomie drsquoadministrattion des

autorisations sur les ressources deacuteployeacutees

La conception de lrsquoarchitecture drsquoune communauteacute RSE peut ecirctre centraliseacutee ou bien deacutecentra-

liseacutee Chaque type drsquoarchitecture preacutesente des avantages et des inconveacutenients En effet nous avons

eacutetudieacute trois types diffeacuterents drsquoarchitecture de collaboration [17] pour la conception de notre plate-

forme collaborative OpenPaaS agrave savoir la collaboration agrave long terme la collaboration agrave faible cou-

plage et la collaboration ad-Hoc

231 Types de collaboration dans les environnements collaboratifs

Les principaux besoins de conception de plates-formes collaboratives baseacutees sur des infrastruc-

tures Cloud sont lrsquoarchitecture multi-tenants la virtualisation des ressources lrsquoadministration deacute-

centraliseacutee et la feacutedeacuteration des identiteacutes Il existe trois types drsquoarchitectures de collaboration [17] qui

reacutepondent agrave ces besoins agrave savoir la collaboration agrave long terme la collaboration agrave faible couplage et

la collaboration ad-Hoc

2311 Collaboration agrave long terme

La collaboration agrave long terme (Fig 24) est un type de collaboration baseacute sur un niveau eacuteleveacute

de deacutependances mutuelles et de confiance entre les entreprises Ce genre de collaboration neacutecessite

31


une meacuteta-politique globale compatible avec les politiques propres agrave chaque entreprise Ces politiques

locales sont inteacutegreacutees et combineacutees dans une base de regravegles commune et centraliseacutee

La collaboration agrave long terme offre comme principal avantage la possibiliteacute de mettre en place

un cadre collaboratif de longue dureacutee gracircce agrave un ensemble a priori connu drsquoentreprises et de po-

litiques de collaboration entre ces derniegraveres De plus lrsquoaspect centraliseacute de ce type drsquoarchitecture

simplifie la gestion des ressources collaboratives agrave savoir les identiteacutes des acteurs les ressources les

politiques de controcircle drsquoaccegraves etc Cela permet en outre de promouvoir lrsquointeropeacuterabiliteacute en matiegravere

de politiques de controcircle drsquoaccegraves entre les diffeacuterentes entreprises car les politiques seront neacutegocieacutees

entre tous les partenaires concernant les profils des acteurs et les droits qui srsquoen suivent dans chaque

entreprise

En revanche lrsquoarchitecture de collaboration agrave long terme preacutesente quelques limites par rapport

agrave notre contexte RSE En effet on constate un manque eacutevident de confidentialiteacute et drsquointeacutegriteacute des

ressources ducirc au fait que les entreprises manquent drsquoautonomie dans la gestion de leurs ressources

propres En effet les ressources seront heacutebergeacutees au niveau de la communauteacute En outre dans une

collaboration agrave long terme eacutetablir un plan drsquoaccord concernant les politiques drsquoeacutechanges collaboratifs

entre toutes les entreprises drsquoune communauteacute risque de prendre beaucoup de temps paralysant ainsi

le processus de collaboration

Composition de politiques

Politiquesentreprise

Meacuteta-politique globale

communauteacute

FIGURE 24 ndash Collaboration agrave long terme [17]

2312 Collaboration agrave faible couplage

Comme son nom lrsquoindique cette architecture est caracteacuteriseacutee par un couplage faible entre les

diffeacuterentes entreprises dans lrsquoenvironnement collaboratif Cela signifie que les politiques locales de

controcircle drsquoaccegraves de chaque entreprise controcirclent lrsquoaccegraves vis-agrave-vis des interactions avec les entiteacutes

collaboratrices externes En effet comme le montre la figure 25 lrsquoaccegraves aux ressources est soumis agrave

deux niveaux de politiques de controcircle drsquoaccegraves un niveau de politiques communes interentreprises

et un niveau de politiques indeacutependantes au niveau de chaque entreprise

Contrairement agrave une architecture de collaboration agrave long terme cette architecture offre aux

32


entreprises plus drsquoindeacutependance en matiegravere drsquoadministration de politiques En outre dans ce type

drsquoarchitecture les ressources restent heacutebergeacutees au niveau des serveurs des entreprises Par conseacute-

quent une ressource partageacutee devient accessible via un Service Level Agreement SLA assurant une

meilleur preacuteservation de lrsquointeacutegriteacute et la confidentialiteacute des ressources

Par rapport agrave nos objectifs de seacutecuriteacute agrave savoir lrsquoautonomie drsquoadministration de politiques et la fa-

ciliter de partage de ressource nous consideacuterons que lrsquoarchitecture de collaboration agrave faible couplage

est mieux adapteacutee agrave notre contexte RSE que lrsquoarchitecture de collaboration agrave long terme Neacuteanmoins

la gestion indeacutependante du controcircle drsquoaccegraves au niveau de chaque entreprise peut provoquer des pro-

blegravemes drsquointeropeacuterabiliteacute lors de la confrontation des attributs drsquoidentiteacute drsquoacteurs externes vis-agrave-vis

des politiques internes de lrsquoentreprise comme crsquoest le cas dans le premier exemple de motivation ougrave

lrsquoeacutetudiante Jessy collabore avec lrsquoentreprise informatique de James Par conseacutequent il faudra eacutetudier

lrsquointeropeacuterabiliteacute agrave lrsquoeacutechelle du modegravele de controcircle drsquoaccegraves

Politique

Veacuterification des politiques Inter-entreprises

Veacuterification des politiques entreprise

communauteacute

FIGURE 25 ndash Collaboration agrave faible couplage [17]

2313 Collaboration Ad Hoc

Par rapport aux types de collaboration preacuteceacutedents la collaboration ad-Hoc se base sur une in-

frastructure tregraves flexible car les dureacutees de collaboration peuvent ecirctre eacutepheacutemegraveres Par exemple une

entreprise ou un acteur peuvent rejoindre ou quitter une communauteacute agrave tout moment Ainsi gracircce

agrave cette forme de collaboration il nrsquoest pas neacutecessaire de mettre en place des proceacutedures compliqueacutees

pour la gestion de la consommation etou du partage de ressources collaboratives En effet cela deacute-

pend de la fluiditeacute et lrsquoagiliteacute dans la mise en place des politiques de controcircle drsquoaccegraves Par exemple

un acteur veut sous traiter une tacircche qui lui est confieacutee agrave un autre acteur externe Pour cela lrsquoacteur

principal a besoin de deacutefinir les permissions drsquoune maniegravere simple flexible et eacuteventuellement tempo-

raire agrave lrsquoeacutegard de lrsquoacteur qui sous traitera sa tacircche Neacuteanmoins ce type de collaboration ne favorise

pas la collaboration agrave long terme et donne aux acteurs une autonomie exageacutereacutee ce qui peut parfois

ecirctre deacutesavantageux pour lrsquoentreprise proprieacutetaire des ressources partageacutees notamment lorsqursquoil srsquoagit

drsquoacteurs malveillants

33


communauteacute

Politique

FIGURE 26 ndash Collaboration Ad hoc [17]

2314 Synthegravese

Agrave lrsquoimage du nombre eacuteleveacute drsquoutilisateurs et de ressources dans lrsquoenvironnement ubiquitaire RSE

une gestion totalement centraliseacutee (ie collaboration agrave long terme) des ressources ainsi que des

accreacuteditations peut avoir un impact neacutegatif sur la qualiteacute de collaboration rechercheacutee par lrsquoutilisation

drsquoun RSE En effet cela peut ralentir le processus de collaboration agrave cause de la complication de

lrsquoadministration de lrsquoaccegraves aux ressources via des meacutetapolitiques globales En revanche une gestion

centraliseacutee peut ecirctre favorable pour lrsquointeropeacuterabiliteacute en matiegravere de gestion des accreacuteditations et

permet eacutegalement de promouvoir la feacutedeacuteration des identiteacutes

Par ailleurs agrave lrsquoimage de la sensibiliteacute des ressources professionnelles deacuteployeacutees dans une com-

munauteacute une entreprise ne peut pas ceacuteder (ie deacuteleacuteguer) complegravetement lrsquoadministration de ses

ressources agrave une partie tierce en lrsquooccurrence la communauteacute RSE Ainsi il est primordial pour

chaque entreprise de garder son autonomie pour lrsquoadministration de ses ressources ie collabora-

tion agrave faible couplage Neacuteanmoins cela ne doit pas causer des problegravemes drsquointeropeacuterabiliteacute En outre

notre conception drsquoarchitecture doit eacutegalement permettre drsquoeacutetablir des collaborations de courte du-

reacutee ie des collaborations ad-Hoc et ce drsquoune maniegravere flexible qui nrsquoexige pas une administration

compliqueacutee des accreacuteditions sur les ressources collaboratives

Par conseacutequent notre objectif est de trouver un juste milieu entre une approche centraliseacutee et

deacutecentraliseacutee tout en respectant les proprieacuteteacutes drsquoautonomie drsquoentreprise de fluiditeacute drsquoeacutechanges col-

laboratifs et drsquointeropeacuterabiliteacute

Nous allons par la suite nous inteacuteresseacute agrave la gestion de lrsquoauthentification des identiteacutes numeacuteriques

au sein des communauteacutes RSE

232 Gestion de lrsquoauthentification

Dans le cadre de notre conception du modegravele de seacutecuriteacute pour le RSE OpenPaaS nous consideacute-

rons que les communauteacutes de collaboration sont indeacutependantes en matiegravere de gestion des identiteacutes

et des accreacuteditations Cela signifie drsquoun cocircteacute qursquoun acteur dans une communauteacute donneacutee ne peut

34

24 Controcircle drsquoaccegraves

pas heacuteriter des permissions depuis drsquoautres communauteacutes et drsquoun autre cocircteacute cela veut dire que les

ressources ne sont pas transfeacuterables drsquoune communauteacute agrave drsquoautres En drsquoautres termes les identiteacutes

ainsi que les permissions sont mono-communautaire Cela signifie qursquoune phase drsquoauthentification est

indispensable au niveau de chaque communauteacute car elle permet de lier chaque identiteacute agrave ses droits

drsquoaccegraves deacutefinis dans la communauteacute en question

Dans un cadre RSE chaque entreprise dispose en reacutealiteacute de son propre meacutecanisme de gestion

drsquoidentiteacutes numeacuteriques qursquoelle voudrait naturellement preacuteserver au sein du RSE Un meacutecanisme de

gestion drsquoidentiteacute utilise un protocole drsquoauthentification qui peut diffeacuterer drsquoune entreprise agrave une autre

eg loginmot-de-passe Pin OpenID etc Cela signifie que pour qursquoun acteur puisse acceacuteder agrave une

ressource partageacutee son identiteacute doit ecirctre approuveacutee par le meacutecanisme de gestion des identiteacutes de

lrsquoentreprise externe proprieacutetaire de la ressource et ce en fonction du protocole drsquoauthentification

utiliseacute par cette derniegravere Agrave lrsquoimage de lrsquoheacuteteacuterogeacuteneacuteiteacute des protocoles drsquoauthentification existants 23

la principale question qui se pose dans ce contexte est relative agrave la maniegravere dont sera traiteacutee lrsquoin-

teropeacuterabiliteacute (en matiegravere drsquoauthentification) au sein de la mecircme communauteacute Il nrsquoest en effet pas

eacutevident de concevoir une plate-forme qui permet de geacuterer cette interopeacuterabiliteacute Par conseacutequent il

convient de trouver une solution alternative qui permette de geacuterer cette interopeacuterabiliteacute


Lrsquoideacutee de collaboration au sein drsquoune communauteacute OpenPaaS est baseacutee sur lrsquoeacutechange entre au

moins deux entreprises Le choix drsquoune deacutemarche de collaboration baseacutee sur le concept de reacuteseaux

sociaux vise en premier lieu agrave rendre les eacutechanges entre collaborateurs plus fluides ie plus de faci-

liteacute dans la proceacutedure de partage de ressource Eacutetant indeacutependante chaque entreprise dispose de ses

propres politiques de gestion de lrsquoaccegraves agrave ses ressources y compris celles destineacutees agrave la collaboration

Cela signifie qursquoil est neacutecessaire de mettre en place un modegravele de politiques collaboratives qui per-

met drsquohomogeacuteneacuteiser les diffeacuterentes politiques des entreprises Par conseacutequent afin de neacutegocier les

droits par rapport agrave la maniegravere dont chaque entreprise attribue les privilegraveges agrave chaque caracteacuteristique

identitaire le modegravele de politiques collaboratives doit ecirctre flexible Par exemple dans une univer-

siteacute le statut ldquochef de deacutepartementrdquo donne le droit agrave lrsquoentiteacute qui le possegravede de consulter librement

lrsquoavancement de tous les projets de stages des eacutetudiants de son deacutepartement Tandis qursquoun chef de

deacutepartement dans une entreprise (avec qui lrsquouniversiteacute collabore) ne peut pas avoir un tel privilegravege

seul le chef de deacutepartement de lrsquouniversiteacute dispose drsquoun tel droit Ainsi la caracteacuteristique chef de

deacutepartement dans lrsquoentreprise doit ecirctre mixeacutee avec lrsquoattribut qui le qualifie de ldquosuperviseurrdquo de projet

de stage pour qursquoil puisse suivre lrsquoavancement du projet de lrsquoeacutetudiant en question En reacutealiteacute de telles

neacutegociations ne sont pas faciles agrave eacutetablir et prennent dans certain cas beaucoup de temps (deacutepassant

parfois le deacutelai preacutevu pour la reacutealisation du projet collaboratif) Dans ce cas cela signifie que le RSE

nrsquoapporte plus un grand inteacuterecirct en matiegravere de collaboration Par conseacutequent il est peut-ecirctre plus ju-

23 La plupart des protocoles drsquoauthentification existants sont codeacutes de maniegraveres tregraves diffeacuterentes et sont souvent incom-patibles les uns avec autres Par exemple un jeton drsquoauthentification conforme au protocole SAML nrsquoest pas compatibleavec un meacutecanisme utilisant le protocole OAuth ou OpenID

35


dicieux de se servir de lrsquoagiliteacute (offerte par le RSE) en matiegravere de partage de ressources et de confier

ainsi la tacircche de deacutefinition de droits aux entiteacutes directement impliqueacutees (drsquoune maniegravere active) dans

la collaboration en lrsquooccurrence les principaux sujets de collaboration agrave savoir les acteurs humains

Afin qursquoun acteur puisse deacutefinir une regravegle de controcircle drsquoaccegraves il est neacutecessaire que cette der-

niegravere soit simple Plus preacuteciseacutement agrave partir du moment ougrave un acteur sait avec qui il doit partager

une ressource donneacutee et de quelle maniegravere (action autoriseacutee) il peut deacutefinir ce droit en preacutecisant

seulement le sujet lrsquoobjet (la ressource) et lrsquoaction (lecture eacutecriture exeacutecution) En effet un acteur

ne peut pas deacutefinir des regravegles globales telle que celle preacutesenteacutee dans lrsquoexemple preacuteceacutedent (cf chef

de deacutepartement) Dans un contexte RSE cela a en revanche un contrecoup relatif agrave une utilisation

abusive drsquoune telle autonomie par lrsquoacteur En effet lrsquoacteur est libre de deacutefinir des droits sur des res-

sources appartenant agrave son entreprise comme bon lui semble De plus mecircme un acteur bienveillant

peut se tromper dans la deacutefinition drsquoune regravegle donnant le droit drsquoaccegraves agrave une mauvaise entiteacute active

(un concurrent eacuteconomique par exemple) Par conseacutequent lrsquoentreprise doit garder un controcircle sur

les regravegles deacutefinies par ses acteurs Cependant en raison de la grande freacutequence de partage dans une

communauteacute RSE le controcircle de lrsquoentreprise ne peut pas ecirctre au mecircme niveau de granulariteacute que

celui des acteurs En drsquoautres termes une entreprise ne peut pas controcircler chaque nouvelle regravegle

deacutefinie au sein de chaque communauteacute Nous reviendrons sur cet aspect avec davantage de deacutetails

quand nous aborderons la probleacutematique lieacutee agrave la supervision (cf Section 25)

Un autre souci lieacute agrave lrsquoadministration de regravegles baseacutees sur les acteurs concerne les eacuteventuelles

incoheacuterences dans la deacutefinition de la regravegle En drsquoautres termes un acteur peut mal deacutefinir une regravegle

de controcircle drsquoaccegraves en se trompant ou en oubliant un des attributs de la cible (sujetobjetaction)

Par conseacutequent il est primordial de veacuterifier que les regravegles soient bien deacutefinies Une telle veacuterification

peut ecirctre reacutealiseacutee de diffeacuterentes maniegraveres elle peut ecirctre manuelle ou automatique Cependant cette

veacuterification est dans les deux cas tregraves coucircteuse Par exemple il est tregraves freacutequent dans le cas des regravegles

deacutefinies agrave base drsquoune syntaxe XML (eg XACML) que les utilisateurs deacutefinissent mal des regravegles de

controcircle drsquoaccegraves Une proceacutedure de veacuterification est possible au moyen des modules de veacuterification au

niveau client Sachant que nous sommes dans un environnement ubiquitaire (RSE) une alternative

moins coucircteuse qui permet de palier le problegraveme de la veacuterification automatique est drsquoopter pour un

formalisme logique en guise de langage de deacutefinition de regravegle En deacutepit de la difficulteacute 24 drsquoeacutecrire

des preacutedicats logiques un langage formel doteacute drsquoun raisonneur automatique permet de reacutesoudre le

problegraveme de veacuterification et de reacuteduire consideacuterablement les coucircts 25 de veacuterification de la coheacuterence

Par ailleurs dans un RSE une ressource partageacutee entre deux ou plusieurs acteurs est une copro-

prieacuteteacute de tous ces acteurs Par conseacutequent il est important qursquoun acteur donneacute puisse revendiquer

(pour une raison donneacutee) lrsquoaccegraves sur une ressource partageacutee par un de ses coproprieacutetaires Cela im-

plique le besoin de combinaison de plusieurs regravegles deacutefinies par des acteurs agrave lrsquoeacutegard drsquoune mecircme

ressource et geacuterer par conseacutequent les possibles incoheacuterences entre regravegles

Lrsquoideacutee de faire eacutetablir des regravegles drsquoautorisation par des acteurs collaboratifs favorise en outre le

24 Que nous avons banaliseacutee gracircce agrave un programme de geacuteneacuteration automatique qui se base sur un ensemble drsquoattributsen lrsquooccurrence la cible

25 Une illustration des performances sera preacutesenteacutee dans le chapitre cd Mise en œuvre

36


mode de collaboration ad-Hoc En effet une collaboration ad-Hoc peut ecirctre exploiteacutee afin de per-

mettre agrave un acteur de sous traiter des tacircches agrave drsquoautres acteurs en srsquoappuyant sur la faciliteacute de deacutefini-

tion drsquoautorisations Une sous traitance de tacircche peut ecirctre vue comme une deacuteleacutegation [204 79 167

197] de droits drsquoun deacuteleacutegataire agrave un deacuteleacutegueacute afin qursquoil puisse acceacuteder agrave ces ressources Cependant

une collaboration ad-Hoc est eacutepheacutemegravere et les droits drsquoaccegraves le sont eacutegalement Par conseacutequent la

regravegle drsquoautorisation en question doit ecirctre supprimeacutee agrave la fin de la collaboration Neacuteanmoins quand

il srsquoagit drsquoacteurs humains (la majoriteacute des acteurs drsquoun RSE en geacuteneacuteral) le risque drsquooubli peut avoir

un impact neacutegatif sur la confidentialiteacute des ressources deacuteleacutegueacutees Ainsi une bonne solution est drsquoau-

tomatiser la suspension de la regravegle apregraves une peacuteriode de validation preacutevue Cela implique drsquoinclure

lrsquoaspect temporel dans la deacutefinition de la regravegle Deacutefinir des contraintes temporelles sur une regravegle de

controcircle drsquoaccegraves ne constitue pas en-soi une tacircche tregraves compliqueacutee Crsquoest le cas par exemple dans les

politiques XACML ougrave de telles contraintes temporelles peuvent ecirctre deacutefinies agrave base de XML Cepen-

dant dans la perspective de tirer profit de lrsquoavantage de la veacuterification automatique de la coheacuterence

des regravegles que nous fournit un langage formel il reste difficile drsquoinclure le temps dans la modeacutelisation

de regravegles

37


25 Supervision et confiance numeacuterique

Dans le cadre de notre discussion agrave propos de la conception drsquoun modegravele de regravegles qui soient

deacutefinies par les acteurs de collaborations nous avons souligneacute lrsquoimportance de la veacuterification de ces

regravegles par les entreprises concerneacutees En effet le controcircle se fait plutocirct vis-agrave-vis des requecirctes externes

car on se base sur lrsquohypothegravese que lrsquoacteur interne ne soit pas corrompu (ou compromis) et risque

seulement de se tromper au moment de la deacutefinition de la regravegle En drsquoautres termes on srsquointeacuteresse au

profil dynamique du sujet de la requecircte appartenant agrave une entreprise partenaire Un profil dynamique

drsquoun acteur de collaboration est repreacutesenteacute par certains attributs susceptibles de changer de valeurs

agrave travers le temps 26 notamment ceux qui repreacutesentent son comportement comme le nombre de ses

tentatives drsquoaccegraves le temps passeacute par session la freacutequence de partage de ressources etc

En reacutealiteacute un acteur peut avoir diffeacuterents comportements pendant ses expeacuteriences collaboratives

dont certains comportements peuvent constituer des menaces de seacutecuriteacute pour les entreprises ie

comportement malveillant De nombreuses approches dans diffeacuterents travaux [107 149 46 183 47]ont essayeacute de preacutedire le comportement futur drsquoun acteur Neacuteanmoins le comportement drsquoune entiteacute

active reste impreacutevisible et peut parfois srsquoaveacuterer tregraves variable et instable notamment dans le cadre

des reacuteseaux sociaux drsquoentreprise ougrave les acteurs sont majoritairement des humains Ainsi agrave lrsquoimage de

lrsquoenjeu majeur de la confidentialiteacute des ressources professionnelles cela risque de causer de seacuterieux

dommages pour les entreprises

Pour faire face agrave lrsquoaspect dynamique du comportement drsquoun acteur humain dans un contexte

collaboratif la question se pose naturellement par rapport agrave la confiance qursquoun systegraveme de controcircle

drsquoaccegraves peut accorder agrave cet acteur Crsquoest pourquoi le comportement de tout acteur doit ecirctre en perma-

nence superviseacute et ses traces drsquointeractions collaboratives enregistreacutees et archiveacutees La supervision agrave

lrsquoeacutegard drsquoun acteur est geacuteneacuteralement baseacutee sur lrsquoexploitation de lrsquohistorique drsquointeraction enregistreacute

Sous le volet du controcircle drsquoaccegraves cette analyse se doit drsquoecirctre pertinente afin de promouvoir la fiabiliteacute

des deacutecisions drsquoautorisations drsquoaccegraves prises au niveau des communauteacutes RSE En outre elle permet-

tra de remettre en cause certaines regravegles (pour une eacuteventuelle reacutevision) jugeacutees obsolegravetes vis-agrave-vis de

tout acteur teacutemoignant drsquoune mauvaise reacuteputation

Selon notre point de vue une analyse pertinente de lrsquohistorique comportemental drsquoun acteur

doit permettre drsquoagir rapidement suite agrave lrsquointerception drsquoun comportement douteux Agir dans notre

contexte est synonyme de rejeter la requecircte et par conseacutequent peacutenaliser lrsquoacteur qui en est agrave lrsquoorigine

par rapport agrave sa reacuteputation 27 dans le cadre collaboratif Par ailleurs agrave lrsquoimage du cadre social de

la vie reacuteelle la confiance doit pouvoir srsquoameacuteliorer suite au maintien de comportements corrects

Dans la mecircme optique la vitesse drsquoameacutelioration de la confiance est loin drsquoecirctre aussi rapide que sa

deacutegradation En reacutesumeacute dans le but de reacutepondre agrave ces besoins il convient drsquointeacutegrer dans notre

plate-forme un systegraveme dynamique drsquoeacutevaluation de la confiance de chaque acteur suivant lrsquoeacutevolution

de sa reacuteputation sur une ligne temporelle continue Pour chaque sujet la reacuteputation et ainsi le niveau

26 Les informations statiques telles que (le nom lrsquoage le rocircle etc) sont ignoreacutees27 La reacuteputation a un impact direct sur lrsquoeacutevolution positive ou neacutegative de la confiance drsquoun acteur cf chapitre


38

26 Synthegravese

de confiance peuvent eacutevoluer drsquoune maniegravere continue positivement ou neacutegativement en fonction du

comportement du sujet agrave travers ses sessions collaboratives Cependant la question qui reste poseacutee

est comment une eacutevaluation de la confiance peut-elle servir les entreprises pour mettre en place des

politiques abstraites et efficaces

251 Gestion du risque des requecirctes de demande drsquoaccegraves

Dans le cadre de la supervision et lrsquoeacutevaluation de la confiance nous avons souligneacute lrsquoimportance

du besoin de la prise en consideacuteration du comportement de chaque entiteacute active principalement

les acteurs humains Par conseacutequent nous avons opteacute pour un meacutecanisme de gestion du risque pour

eacutetudier la possibiliteacute drsquoexploiter et drsquointeacutegrer la confiance avec eacuteventuellement de nouvelles variables

lieacutees au contexte RSE

Outre les reacuteputations des acteurs externes drsquoautres variables entrent en consideacuteration comme

lrsquoimportance drsquoune ressource collaborative qui peut changer agrave travers le temps en fonction du nombre

drsquoacteurs concerneacutes Par ailleurs lrsquoheacuteteacuterogeacuteneacuteiteacute drsquoune communauteacute en matiegravere drsquoauthentification

drsquoacteurs peut laisser place agrave certaines vulneacuterabiliteacutes dans la mesure ougrave une entreprise ne peut pas

eacutevaluer la fiabiliteacute drsquoun meacutecanisme drsquoauthentification utiliseacute par une autre entreprise partenaire

Une ressource dans un RSE peut appartenir agrave plusieurs proprieacutetaires en mecircme temps Le nombre

de proprieacutetaires peut eacutegalement changer agrave travers le temps Ce changement est susceptible de pro-

voquer une alteacuteration de lrsquoimportance de la ressource en question et ce en partant du principe que

lrsquoimportance drsquoune ressource collaborative augmente avec lrsquoaccroissement du nombre de proprieacute-

taires Ainsi ce critegravere drsquoimportance peut eacutegalement ecirctre tregraves important pour la phase de controcircle

des politiques de partage au niveau des entreprises

Afin de promouvoir la collaboration et respecter les preacutefeacuterences des entreprises en matiegravere de

gestion drsquoauthentification nous avons souligneacute le fait qursquoau sein drsquoune communauteacute on ne doit pas

imposer un meacutecanisme commun agrave toutes les entreprises Dans lrsquohypothegravese ougrave on arrive agrave geacuterer cette

interopeacuterabiliteacute il reste agrave eacutetudier les contrecoups drsquoune telle heacuteteacuterogeacuteneacuteiteacute sur la gestion des autori-

sations drsquoaccegraves aux ressources collaboratives vu que les deux proceacutedures agrave savoir lrsquoauthentification

et lrsquoautorisation sont compleacutementaires En effet tous les meacutecanismes drsquoauthentification ne reflegravetent

pas le mecircme niveau drsquointeacutegriteacute ni de certification de lrsquoauthenticiteacute des identiteacutes numeacuteriques authen-

tifieacutees Ainsi la vulneacuterabiliteacute de lrsquoenvironnement collaboratif agrave savoir la communauteacute peut ecirctre lieacutee

agrave la fiabiliteacute des identiteacutes en matiegravere drsquoauthenticiteacute

26 Synthegravese

Cette section reacutesume la probleacutematique de cette thegravese qui porte sur la seacutecurisation des eacutechanges

collaboratifs au sein drsquoun RSE

Lrsquohypothegravese geacuteneacuterale qui peut reacutesumer la probleacutematique est la suivante ldquoun acteur obtient un

accegraves agrave une ressource qui lui est normalement non autoriseacute et met ainsi en peacuteril la confidentialiteacute de

la ressourcerdquo En effet mecircme avec lrsquoutilisation drsquoun systegraveme de controcircle drsquoaccegraves classique plusieurs

39


sceacutenarios menaccedilants peuvent se produire tels que

bull La regravegle de controcircle drsquoaccegraves a eacuteteacute initialement mal deacutefinie

bull un pirate informatique usurpe lrsquoidentiteacute drsquoun utilisateur de confiance ou un utilisateur existant

devient malveillant et essaie de voler des informations preacutecieuses

bull la sensibiliteacute (ie lrsquoimportance) drsquoune ressource collaborative donneacutee change agrave travers le

temps ce qui rend la regravegle de controcircle drsquoaccegraves initiale obsolegravete

bull le meacutecanisme drsquoauthentification utiliseacute pour lrsquoauthentification de lrsquoidentiteacute du demandeur

drsquoaccegraves inclut des failles de seacutecuriteacute ce qui signifie que lrsquoauthenticiteacute de lrsquoidentiteacute de lrsquoacteur

en question ne peut pas ecirctre garantie

Ceci nous conduit agrave relever pour la conception du meacutecanisme de controcircle drsquoaccegraves destineacute au RSE

OpenPaaS les besoins suivants

bull la flexibiliteacute du modegravele de regravegle afin de geacuterer lrsquointeropeacuterabiliteacute entre les diffeacuterentes entreprises

collaboratives en matiegravere de gouvernance du controcircle drsquoaccegraves

bull la possibiliteacute de deacutefinir les regravegles neacutegatives (ie interdiction) afin de permettre agrave un acteur de

revendiquer lrsquoaccegraves agrave une ressources donneacutee (ie deacutecentralisation du pouvoir de gestion de

ressources collaboratives)

bull lrsquoautonomie de lrsquoentreprise par la possibiliteacute de filtrer les regravegles deacutefinies par ses acteurs et ce

avec un niveau assez eacuteleveacute drsquoabstraction

bull la consideacuteration du contexte dynamique de collaboration

bull la prise en consideacuteration du temps dans la deacutefinition des regravegles de deacuteleacutegations auto-reacutevocables

(ie permissions temporaires)

bull la veacuterification automatique et non coucircteuse de la consistance et la coheacuterence des politiques

preacutesentes en tregraves grande masse dans les communauteacutes RSE

27 Conclusion

Dans ces deux premiers chapitres (Introduction geacuteneacuterale et Probleacutematique et motivations) nous

avons introduit nos travaux reacutealiseacutes dans le cadre de cette thegravese Drsquoabord nous avons preacutesenteacute le

contexte ainsi que les objectifs sur lesquels nous nous sommes focaliseacutes pour eacutetudier les diffeacuterents

aspects de probleacutematique ayant guideacute nos diffeacuterentes contributions Dans les chapitres suivants nous

allons preacutesenter ces contributions mais avant nous introduisant lrsquoEacutetat de lrsquoart qui permettra de mieux

comprendre certains de nos choix et aidera agrave la compreacutehension de nos solutions

40

Chapitre 3


Sommaire












33 Conclusion 76


Dans ce chapitre nous allons preacutesenter un eacutetat de lrsquoart portant sur des travaux ayant eacuteteacute reacutealiseacutes

dans des contextes similaires au notre agrave savoir la gestion des identiteacutes numeacuterique et des autorisa-

tions de controcircle drsquoaccegraves dans les environnements collaboratifs Nous preacutesenterons par ailleurs des

concepts que nous avons utiliseacutes dans lrsquoeacutelaboration de nos solutions en la matiegravere

31 Gestion des identiteacutes numeacuteriques collaboratives

Dans un environnement collaboratif il existe deux types drsquoentiteacute de collaboration agrave savoir les

entiteacutes passives et les entiteacutes actives Une entiteacute active peut ecirctre un utilisateur humain ou un pro-

gramme informatique (un service web un agent informatique etc) Quant agrave lrsquoentiteacute passive elle

peut ecirctre tout objet utilisable par une entiteacute active comme une ressource un logiciel une informa-

tion etc La principale diffeacuterence en termes de seacutecuriteacute est que contrairement agrave une entiteacute active une

entiteacute passive peut uniquement recevoir des informations mais ne peut pas les revendiquer aupregraves

drsquoautres entiteacutes (passives ou actives)

41

Chapitre 3 Eacutetat de lrsquoart

Toute entiteacute collaborative (processus services donneacutees mais aussi utilisateurs logiciels) possegravede

une identiteacute numeacuterique la distinguant au sein de chaque communauteacute de collaboration Une entiteacute

est caracteacuteriseacutee par un ensemble drsquoattributs permettant de deacuteterminer son profil dans le cadre colla-

boratif (confiance comportement rocircle sensibiliteacute etc) Une bonne gestion des identiteacutes numeacuteriques

doit prendre en consideacuteration deux aspects fondamentaux agrave savoir leurs certifications (authentifica-

tion) et leurs accreacuteditations drsquoaccegraves (autorisation) Dans cette section nous nous sommes focaliseacutes

sur la partie authentification et la gestion des identiteacutes numeacuteriques

311 Identiteacute et cycle de vie

Bien que lrsquoidentiteacute drsquoune quelconque entiteacute est censeacutee ecirctre indeacutependante et unique elle est en

reacutealiteacute toujours relieacutee agrave un domaine faisant partie drsquoun contexte speacutecifique Par exemple lrsquoidentiteacute

ldquoBobrdquo dans le contexte social nrsquoest pas la mecircme que ldquoMr Bernardrdquo dans le domaine professionnel

Cependant ces deux identiteacutes font reacutefeacuterence la mecircme personne Par conseacutequent lrsquoidentiteacute de chaque

entiteacute active doit rester unique eacuteventuellement avec de multiples reacutefeacuterences pouvant la distinguer

dans chacun des domaines de reacutefeacuterence

Une entiteacute est donc caracteacuteriseacutee par un ou plusieurs attributs ayant une seacutemantique particuliegravere

par rapport agrave un domaine Lrsquoensemble des attributs drsquoune entiteacute quelconque est accessible via un

identifiant interne ie identifiant priveacutee au domaine La figure 31 donne une vue globale sur les

relations domaine-entiteacute-identiteacute

ID interne

Externe ID2

Externe ID1

Attributsltcleacutevaleurgt

Externe ID1

Communauteacute 1

Domaine de lidentiteacute initiale du sujet

(entreprise)

Externe ID3

Acteur

Jeton dauthentification

Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE

FIGURE 31 ndash Gestion des identiteacute dans les communauteacutes feacutedeacutereacutees

Lrsquoidentifiant interne (ID interne) repreacutesente lrsquoidentiteacute initiale drsquoune entiteacute dans son domaine ini-

tial Un domaine initial drsquoidentiteacute est le cadre dans lequel lrsquoidentiteacute de lrsquoentiteacute en question a eacuteteacute

42


initialement creacuteeacutee Lrsquoidentifiant interne preacutesente quelques particulariteacutes et exigences par rapport aux

autres attributs drsquoidentiteacute agrave savoir

bull lrsquoidentifiant interne permet de distinguer lrsquoentiteacute en question par rapport aux autres entiteacutes

du mecircme domaine (ie les identiteacutes internes)

bull lrsquoidentifiant interne doit ecirctre indeacutependant de la seacutemantique que peuvent avoir les attributs de

lrsquoentiteacute qursquoil repreacutesente

bull lrsquoidentifiant interne ne doit pas avoir un sens particulier ou ecirctre relieacute agrave drsquoautres attributs

bull lrsquoidentifiant interne est restreint (priveacute) au domaine de lrsquoentiteacute qursquoil repreacutesente il ne doit

jamais ecirctre visible agrave partir drsquoautres domaines externes

Cependant dans un cadre collaboratif une entiteacute doit pouvoir avoir une identiteacute externe agrave son

domaine initial En drsquoautres termes une entiteacute collaborative active a besoin drsquoun identifiant qui

soit utilisable dans les autres domaines avec lesquels elle souhaite collaborer On parle dans ce cas

drsquoidentifiant externe qui sert agrave deacutefinir une facette drsquoidentiteacute adapteacutee agrave un domaine donneacute agrave partir

drsquoune identiteacute initiale En drsquoautres mots lrsquoidentifiant externe peut ecirctre lieacute agrave un sous-ensemble de

lrsquoensemble inteacutegral des attributs identitaires stockeacutes dans le domaine initial de lrsquoentiteacute en question

Cela permet drsquoavoir une bonne flexibiliteacute dans la collaboration (faciliter de deacutefinir des identiteacutes) tout

en ayant une bonne confidentialiteacute des attributs identitaires Par exemple dans une communauteacute

drsquoentraide en programmation informatique un acteur nrsquoa pas besoin de divulguer certains attributs

drsquoordre personnel comme son numeacutero de teacuteleacutephone adresse reacutesidentielle ou numeacutero de seacutecuriteacute

sociale

Drsquoun point de vue protection de ressources collaboratives lrsquoidentifiant externe sert agrave authentifier

une entiteacute dans un domaine qui lui est externe Plusieurs meacutethodes sont utiliseacutees pour une proceacutedure

drsquoauthentification agrave savoir des meacutethodes centraliseacutees et des meacutethodes distribueacutees

312 Eacutetude des solutions existantes

Avec lrsquoeacutevolution des architectures des systegravemes les meacutethodes drsquoauthentification sont passeacutees de

meacutethodes classiques et centraliseacutees telles que le fameux loginmot-de-passe et outils similaires agrave des

meacutethodes deacutecentraliseacutees davantage orienteacutees vers les environnements multi-domaines

3121 Authentification forte

Lrsquoauthentification forte (figure32) est une nouvelle famille des protocoles drsquoauthentification

classiques baseacutees sur de multiples dispositifs drsquoauthentification comme la meacutemoire de lrsquoutilisateur

(Loginmot-de-passe code pin etc) les systegravemes de codage aleacuteatoire (envoi drsquoun sms sur le teacuteleacute-

phone portable personnel) ou les proceacutedeacutes biomeacutetriques (empreinte digitale reconnaissance vo-

calereacutetinienne etc)

Lrsquoauthentification forte est une nouvelle forme de veacuterification des identiteacutes numeacuterique qui se base

sur la faciliteacute de lrsquoaccegraves aux informations agrave tout moment 28 pour renforcer les proceacutedures classiques

28 eg la lecture drsquoun sms ou drsquoun e-mail depuis son smartphone

43


Secret quon connaitProprieacuteteacute physique

(ce quon est)

Proprieacuteteacute digitale(ce quon possegravede)

FIGURE 32 ndash Authentification forte

baseacutees sur des informations secregravetes fournies par lrsquoutilisateur final (eg un mot de passe) et ce en

eacutetendant le processus sur deux phases de veacuterifications

Avec les outils reacutecents de geacuteneacuteration de mots de passe ces derniers sont devenus assez difficiles agrave

deacuteduire (eg WPA WEP TKIP WEP TKIP+AES WPA2) cependant ils restent vulneacuterables Car un mot

de passe peut ecirctre pirateacute ou bien juste voleacute (observeacute) par manque de vigilance du possesseur Or avec

lrsquoauthentification forte lrsquoutilisateur (agrave authentifier) doit justifier de la possession drsquoun code agrave usage

unique envoyeacute sur son adresse mail ou sur son teacuteleacutephone mobile sous forme de message texte et ce

sur un terminal qursquoil avait lui mecircme associeacute agrave son compte au preacutealable Le concept drsquoauthentification

forte (ou la validation en deux eacutetapes) a eacuteteacute deacuteveloppeacute et adopteacute par des compagnies telles que

Google Paypal Dropbox Twitter FIDO [77] est un systegraveme qui a tregraves bien reacuteussi la mise en œuvre

du concept de lrsquoauthentification forte

3122 Authentification unique multi-domaine (SSO)

Dans une communauteacute RSE qui regroupe plusieurs entreprises lrsquoidentiteacute drsquoun acteur doit ecirctre

valideacutee aupregraves de chaque entreprise qui possegravede des ressources qui inteacuteressent lrsquoacteur Cela signifie

que lrsquoacteur en question doit srsquoauthentifier plusieurs fois avec la mecircme identiteacute ce qui constitue une

redondance qui peut nuire agrave la motivation collaborative de lrsquoacteur en question Ainsi il est plus pra-

tique pour un acteur de srsquoauthentifier une seule fois afin drsquoacceacuteder agrave plusieurs ressources (plusieurs

fois) tout en srsquoeacutepargnant de multiples proceacutedures drsquoauthentification Cette derniegravere configuration est

lrsquoideacutee fondatrice du concept de lrsquoauthentification unique ldquoSSOrdquo Single Sign On Parmi les protocoles

SSO les plus connus on distingue le protocole OpenID le protocole OAuth et le protocole SAML

44


OpenID

Le protocole OpenID 20 [162 110] fournit agrave un utilisateur un identifiant OpenID speacutecifique lui

permettant de srsquoidentifier aupregraves des sites compatibles ie supportant le protocole Un utilisateur

peut creacuteer lui mecircme son propre OpenID et le mettre sur un serveur vers lequel seront redirigeacutes les

services consommateurs 29 Il peut eacutegalement utiliser des fournisseurs drsquoidentiteacutes OpenID existants

comme Yahoo AOL Google Orange etc

La partie droite de la figure 33 illustre le mode de fonctionnement du protocole OpenID La

principale speacutecificiteacute reacuteside dans le fait que lrsquoapplication du cocircteacute client (navigateur web) se charge

de confirmer lrsquoauthenticiteacute de lrsquoutilisateur vis-agrave-vis du fournisseur de services agrave chaque fois que ce

dernier le reacuteclame et ce par le biais de cookies 30

FIGURE 33 ndash OAuthOpenID authentification [110]

29 Les utilisateurs souhaitant eacutelaborer de maniegravere autonome leur propre OpenID peuvent se contenter drsquoun simplefichier texte dans lequel sont enregistreacutees les informations concernant leur identiteacute

30 https toolsietforg

45


OAuth

OAuth 10 est un protocole drsquoautorisation standard ouvert qui permet agrave des tiers (principalement

des applications et service web) drsquoacceacuteder aux donneacutees des utilisateurs sans connaicirctre leur mot de

passe [10] OAuth peut ecirctre consideacutereacute comme un protocole de deacuteleacutegation identitaire qui donne agrave

une application tierce le droit drsquoagir au nom drsquoun utilisateur sur la base drsquoun ensemble (eacuteventuel-

lement restreint) de ses attributs identitaires En effet OAuth permet de notifier un fournisseur de

ressources (par exemple Twitter) que le proprieacutetaire de la ressource accorde la permission agrave un tiers

(par exemple une application de e-commerce) drsquoacceacuteder agrave ses informations (par exemple la liste de

contacts) La particulariteacute de OAuth est qursquoil est adapteacute aux services qui ne sont pas forceacutement des

applications web comme des applications bureautiques des appareils mobiles des set-top box (Box

ou deacutecodeur TV)[9]

Le processus drsquoautorisation se base sur une requecircte qui redirige le proprieacutetaire vers son fournis-

seur OAuth ougrave sont stockeacutees les donneacutees agrave utiliser Le mode de fonctionnement du protocole OAuth

est illustreacute sur la partie gauche de la figure 33

Discussion

OAuth et OpenID partagent beaucoup de proprieacuteteacutes agrave savoir la gestion drsquoidentiteacute la deacutecentralisa-

tion la redirection entre sites La principale diffeacuterence entre OAuth et OpenID est que OAuth permet

agrave un tiers drsquoacceacuteder agrave des donneacutees proteacutegeacutees avec une granulariteacute controcircleacutee par le proprieacutetaire de

ces donneacutees

La question qui reacutesume le principal souci avec lrsquoutilisation des protocoles SSO est ldquoAgrave quel point

lrsquoutilisateur peut confier ses informations agrave un fournisseur SSO rdquo De plus du point de vue du four-

nisseur de services les protocoles SSO (et en particulier OpenID) ne preacutesentent aucune garantie sur

lrsquoauthenticiteacute des informations sur lrsquoutilisateur agrave authentifier En outre la redirection entre plusieurs

sites expose lrsquoutilisateur au risque de tiers malveillants eg le Phishing Ainsi un cadre de confiance

est neacutecessaire pour eacuteviter les limites des protocoles SSO Dans la section suivante nous preacutesenterons

la notion de feacutedeacuteration qui permet de reacuteduire le risque drsquointeraction avec les tiers malveillants tout

en preacuteservant lrsquoagiliteacute en matiegravere de proceacutedure drsquoauthentification offerte par les approches SSO

3123 Authentification feacutedeacutereacutee

Un des problegravemes de lrsquoauthentification unique concerne le manque de garantie concernant lrsquoau-

thenticiteacute des informations drsquoidentiteacute communiqueacutees par le fournisseur de lrsquoidentiteacute Le problegraveme

peut avoir un impact neacutegatif sur les deux parties le client SSO (ie le fournisseur de services) et

lrsquoutilisateur Lrsquoutilisateur risque une utilisation abusive de ses informations par son fournisseur SSO

Par ailleurs le client SSO ne peut pas srsquoassurer de lrsquoidentiteacute fournie car il ne connaicirct pas le fournis-

seur de cette derniegravere Pour remeacutedier agrave ces problegravemes une solution peut ecirctre la mise en place drsquoune

feacutedeacuteration qui peut ecirctre consideacutereacutee comme un peacuterimegravetre de confiance mutuelle entre domaines (ie

entreprises) Les conventions entre partenaires peuvent ecirctre eacutetablies au moyen de politiques per-

46


mettant drsquoencadrer les interactions entre membres et par ailleurs drsquoinstaller un cadre de confiance

notamment concernant les informations identitaires inter-domaines Ainsi la feacutedeacuteration [80] est une

approche tregraves inteacuteressante pour faciliter et certifier le partage drsquoinformations dans un environnement

collaboratif heacuteteacuterogegravene tel qursquoun RSE Un exemple de gestion des identiteacutes feacutedeacutereacutees est le standard

SAML [137] proposeacute par OASIS

SAML

Deacuteveloppeacute par OASIS 31 SAML (Security Assertions Mark-up Language) est un standard de feacutedeacute-

ration drsquoidentiteacute baseacute sur le langage XML Comme illustreacute sur la figure 34 SAML permet drsquoeacutetablir un

pont entre un acteur un fournisseur de services et un fournisseur drsquoidentiteacute Lrsquoacteur demande drsquoaccegraves

agrave une ressource aupregraves du fournisseur de services ce dernier exige une certification de lrsquoidentiteacute de

lrsquoacteur dont le protocole SAML se chargera de lui fournir Pour cela lrsquoacteur doit drsquoabord srsquoauthen-

tifier aupregraves de son fournisseur drsquoidentiteacute Une fois la phase drsquoauthentification de lrsquoacteur aupregraves de

son fournisseur drsquoauthentification reacuteussie SAML transfegravere au fournisseur de services une affirmation

concernant lrsquoauthenticiteacute identiteacute de lrsquoacteur en question et ce quel que soit le protocole drsquoauthenti-

fication utiliseacute par le fournisseur drsquoidentiteacute Plus preacuteciseacutement SAML nrsquoindique pas au fournisseur de

services le protocole drsquoauthentification utiliseacute En reacutesumeacute SAML est comme un contrat drsquoassurance

entre diffeacuterents partenaires drsquoougrave la deacutefinition de la notion de feacutedeacuteration Cependant le fait de ca-

cher le meacutecanisme utiliseacute pour lrsquoauthentification peut nuire agrave la qualiteacute de la collaboration dans un

environnement RSE dans le sens ougrave une telle information est neacutecessaire afin de juger lrsquointeacutegriteacute des

entiteacutes avec lesquelles une entreprise collabore Par exemple une entreprise peut deacutecider de ne pas

collaborer avec les entreprises utilisant le systegraveme Loginmot-de-passe car elle le considegravere comme

eacutetant tregraves vulneacuterable

Diverses normes de feacutedeacuteration sont baseacutees sur le standard SAML par exemple Liberty Alliance

ID-FF ID-WSF et WS-Federation

WS-Federation

WS-Federation est une des normes de feacutedeacuteration baseacutee sur SAML preacutesenteacutee par Microsoft et IBM

dans lrsquoarticle [57] en 2002 deacutecrivant un guide pour lrsquoeacutelaboration drsquoun ensemble de speacutecifications de

seacutecuriteacute des services-Web incluant WS-Security WS-Policy WS-Trust WS-Federation WS-Privacy

WS-Authorization et WS-SecureConversation

WS-Security est le cadre global qui deacutefinit les fonctions de base pour assurer lrsquoauthenticiteacute lrsquoin-

teacutegriteacute et la confidentialiteacute des messages en se basant sur lrsquoutilisation de jetons de seacutecuriteacute Afin

drsquoeacutechanger des messages de maniegravere seacutecuriseacutee WS-SecurityPolicy permet drsquoeacutetablir la description

des exigences de seacutecuriteacute et ce par lrsquoeacutevaluation du type de jetons accepteacutes

WS-Trust est le service fondamental des feacutedeacuterations du type WS-federation Il gegravere la gestion

des jetons de seacutecuriteacute Il deacutefinit des protocoles pour deacutelivrer renouveler et annuler des jetons WS-

31 Organization for the Advancement of Structured Information Standards (OASIS) est un consortium mondial agrave butnon lucratif fondeacute en 1993 Il a conduit le deacuteveloppement et lrsquoadoption de normes (standards) de commerce eacutelectronique

47


FIGURE 34 ndash SAML

Security et ce au moyen drsquoeacutechange de messages seacutecuriseacutes agrave travers des services web Pour assurer la

gestion de messages entre parties distribueacutees WS-Trust se base sur un module drsquoeacutechange de jetons

(sous forme de requecirctereacuteponse) [4] appeleacute Security Token Service (STS) Ces jetons de seacutecuriteacute sont

deacutecrits par WS-SecurityPolicy et utiliseacutes par WS-Security

En effet un STS peut ecirctre consideacutereacute comme le garant ou lrsquointermeacutediaire de la relation de confiance

entre les diffeacuterentes parties drsquoune interaction drsquoeacutechange collaboratif agrave savoir le demandeur drsquoaccegraves

principal (acteur) le fournisseur de services (FS) et le fournisseur drsquoidentiteacute (FI) Le rocircle du STS est

de geacuterer lrsquointeropeacuterabiliteacute entre ces diffeacuterentes parties dans le cas ougrave elles adoptent des politiques

diffeacuterentes Le STS se charge ainsi de fournir au FS un jeton certifiant lrsquoidentiteacute de lrsquoacteur authentifieacute

par un FI comme crsquoest le cas dans SAML Plus preacuteciseacutement le STS convertit localement les jetons

issus de la part drsquoun FI au format supporteacute par les fournisseurs de services (cibleacutes)

Le service WS-Federation est une extension de WS-Trust [3] dans le sens ougrave il se base sur la faci-

liteacute drsquoeacutechange des jetons de seacutecuriteacute assureacute par les STSs afin drsquoeacutetablir un contexte de confiance entre

des environnements heacuteteacuterogegravenes En effet WS-Federation est un cadre plus global de la notion de

feacutedeacuteration que WS-Trust La valeur ajouteacutee par WS-Federation est qursquoagrave travers ses extensions de lrsquoen-

semble des protocoles WS-Trust il permet agrave ce dernier drsquointeacutegrer des attributs suppleacutementaires (eg

un pseudonyme) aux jetons STSs Cela peut ecirctre utile quand il est utiliseacute avec des claims-authorization

services 32 dans la perspective de preacuteserver la confidentialiteacute (privacy) des acteurs agrave travers les fron-

tiegraveres des organisations feacutedeacutereacutees Par exemple dans le cas ougrave le fournisseur de services reacuteclame (agrave

travers des politiques de controcircle drsquoaccegraves) certains attributs drsquoidentiteacute drsquoun acteur neacutecessaires (pour

son autorisation) le fournisseur drsquoidentiteacute peut veacuterifier que le profil de lrsquoacteur en question est adeacute-

quat (dispose des attributs) et certifier cela au FS sans lui divulguer lrsquoidentiteacute de lrsquoacteur en question

32 Lrsquoautorisation Claims-based est une approche dans laquelle les deacutecisions drsquoautorisation drsquoaccegraves se font par rapportagrave une logique arbitraire drsquoautorisation qui se base sur des donneacutees contenues dans des claims (packages qui contiennentdes informations sur le profil drsquoun acteur)

48


FIGURE 35 ndash WS-Trust [4]

Discussion

Nous avons besoin drsquoune approche de feacutedeacuteration flexible dans le sens ougrave elle sera plus ouverte agrave

la diversiteacute en matiegravere de protocole drsquoauthentification En effet nous consideacuterons que dans un envi-

ronnement ouvert tel qursquoun RSE la possibiliteacute qursquoune entreprise puisse preacuteserver son meacutecanisme

drsquoauthentification encourage et facilite la collaboration interentreprises Cependant le problegraveme

drsquoheacuteteacuterogeacuteneacuteiteacute entre les meacutecanismes drsquoauthentification des entreprises sera toujours preacutesent Par

conseacutequent nous devons trouver une alternative agrave un systegraveme de feacutedeacuteration commun baseacute sur un

meacutecanisme de deacuteleacutegation de certification et redirection entre plusieurs parties (STS) Par ailleurs

il est important de reacuteduire la charge drsquoadministration du fournisseur drsquoidentiteacute de telle sorte qursquoil

ne soit pas solliciteacute pour chaque requecircte de demande drsquoaccegraves afin de certifier lrsquoidentiteacute du sujet de

cette derniegravere Dans la section suivante nous allons nous tourner vers le controcircle drsquoaccegraves dans les

environnements collaboratifs


Dans la litteacuterature de nombreux travaux dans le domaine du controcircle drsquoaccegraves existent afin de

reacutepondre aux diffeacuterents besoins rencontreacutes au fil des anneacutees avec lrsquoeacutevolution des outils informatiques

et leurs utilisations Lrsquoideacutee principale dans la conception drsquoun meacutecanisme de controcircle drsquoaccegraves est de

speacutecifier un ensemble de regravegles agrave travers un scheacutema drsquoautorisation Ces regravegles indiquent quelles

actions sont autoriseacutees (ou non-autoriseacutees) vis-agrave-vis drsquoun acteur sur de(s) ressource(s) selon un

ensemble preacuteeacutetabli drsquoobjectifs de seacutecuriteacute [170]

Dans un systegraveme drsquoinformation le noyau drsquoune regravegle de controcircle drsquoaccegraves est composeacute de trois

entiteacutes principalement un sujet (lrsquoentiteacute active) et un objet (lrsquoentiteacute passive) Ces deux entiteacutes sont

accompagneacutees drsquoune action qui indique le but de la requecircte du sujet aupregraves de la ressource en ques-

49


tion Ensemble les trois composants le sujet lrsquoobjet et lrsquoaction sont appeleacutes la cible drsquoune regravegle de

controcircle drsquoaccegraves

Apregraves une proceacutedure drsquoauthentification drsquoun sujet et la reacuteception des informations concernant la

cible de sa requecircte le composant de controcircle drsquoaccegraves accorde ou refuse la demande en se basant sur

les informations fournies et lrsquoensemble des regravegles de controcircle drsquoaccegraves relieacutees au sujet ou agrave la cible de

la requecircte Un ensemble de regravegles ayant un critegravere commun (eg le sujet) est appeleacute politique de


Dans cette section nous allons en premier introduire deux paradigmes de modeacutelisation drsquoune

politique de controcircle drsquoaccegraves ainsi que les principaux composants neacutecessaires agrave leur construction

Nous allons ensuite eacutetudier les principaux modegraveles de politiques de controcircle drsquoaccegraves

321 Paradigmes de construction drsquoun langage de politique

Une politique de controcircle drsquoaccegraves est un ensemble de regravegles qui deacuteterminent les droits drsquoaccegraves

vis-agrave-vis drsquoun utilisateur authentifieacute Une politique peut par ailleurs ecirctre eacuteventuellement soumise agrave

certaines conditions par rapport agrave un certain objectif deacutefini par le contexte Dans la litteacuterature les

regravegles de controcircle drsquoaccegraves sont geacuteneacuteralement deacutefinies sur la base de deux modegraveles agrave savoir Eacuteveacutene-

ment Condition Action ou Condition Action [91]

Le modegravele Condition Action est baseacute sur le paradigme suivant Si (Condition) Alors (Action)

Ce qui signifie que lrsquooccurrence drsquoune action est conditionneacutee par une ou plusieurs contraintes Si la

condition est satisfaite alors lrsquoaction peut se produire Quant au premier modegravele Eacuteveacutenement Condi-

tion Action (ECA) lrsquoaction est deacuteclencheacutee par lrsquooccurrence drsquoun eacuteveacutenement preacutedeacutefini En drsquoautres

termes quand un eacuteveacutenement se produit les contraintes qui conditionnent la validation de lrsquoaction

relieacutee sont eacutevalueacutees par le meacutecanisme de controcircle drsquoaccegraves

Contrairement au paradigme CA le paradigme ECA est capable de consideacuterer le contexte en

temps reacuteel dans le processus de controcircle drsquoaccegraves vu qursquoil est baseacute sur des eacuteveacutenements infeacutereacutes agrave partir

des attributs de lrsquoenvironnement Cela signifie que gracircce au paradigme ECA les changements du

contexte peuvent ecirctre pris en compte dans les prises de deacutecisions Le paradigme ECA a eacuteteacute adopteacute

dans de nombreux langages de politiques comme PDL [131] et Ponder [63]

Afin drsquoadapter notre modegravele de politiques aux diffeacuterentes caracteacuteristiques des RSE agrave savoir le

contexte dynamique la co-proprieacuteteacute de ressources la consistance de la gestion des politiques centreacutee

sur lrsquoutilisateur et lrsquoaspect de partage temporaire nous avons eacutetudieacute les concepts suivants

bull Permission la regravegle qui autorise lrsquoaccegraves vis-agrave-vis drsquoun acteur sur une cible preacutecise Dans un

environnement collaboratif ouvert il est plus judicieux que lrsquoaccegraves agrave toute ressource parta-

geacutee soit par deacutefaut interdit et que les permissions soient les exceptions qui deacutefinissent les

autorisations drsquoaccegraves aux ressources

bull Interdiction en logique deacuteontique une interdiction est le contraire drsquoune permission Une

regravegle de prohibition [98 28] interdit lrsquoaccegraves agrave un acteur donneacute vis-agrave-vis drsquoune ressource don-

neacutee Dans le contexte RSE une interdiction peut servir agrave suspendre une autorisation drsquoaccegraves

deacutefinit dans le systegraveme ou la revendiquer dans le cas de multiples proprieacutetaires

50


bull Eacuteveacutenement capteacute par un systegraveme de supervision (monitoring) en temps reacuteel un eacuteveacutenement

repreacutesente tout ce qui se produit et qui est susceptible de changer directement ou indirec-

tement lrsquoeacutetat de lrsquoenvironnement du systegraveme Par exemple lrsquoarriveacutee drsquoun nouvel utilisateur

ou une nouvelle ressource la reacuteception drsquoune requecircte de demande drsquoaccegraves Ainsi le principal

avantage derriegravere la consideacuteration des eacuteveacutenements est la possibiliteacute de prise en consideacuteration

des changements dynamiques en temps reacuteel dans le contexte de collaboration

bull Condition Une condition est la contrainte sous laquelle une permission est approuveacutee Prati-

quement une condition est un preacutedicat qui peut ecirctre eacutevalueacute agrave vrai faux ou pas applicable [91]Une condition est souvent relative au contexte eg le temps la position geacuteographique le type

drsquoapplication etc

bull Abstraction lrsquoabstraction drsquoune partie de la cible (ou toute la cible) composant une politique

consiste agrave la deacutefinir drsquoune maniegravere plus geacuteneacuteraliseacutee en se basant sur un critegravere commun

comme crsquoest le cas pour le ldquorocirclerdquo qui est lrsquoabstraction du ldquosujetrdquo drsquoune cible dans RBAC ou les

vues (ensemble de ressources) dans Or-BAC

bull Formalisation Ce critegravere indique si le langage adopte une formalisation logique (de premier

ordre en geacuteneacuteral) ou structureacutee (sous forme XML en geacuteneacuteral) Cette proprieacuteteacute drsquoune politique

a un impact direct sur la capaciteacute de veacuterification automatique de la coheacuterence des regravegles de

la politique

bull Veacuterification Cette proprieacuteteacute concerne les modegraveles ayant un formalisme logique eg Event-

B [13] Alloy [97] Prolog [55] Situation-calculus [124] Event-Calculus [147] La veacuterification

peut ecirctre effectueacutee gracircce agrave des outils de raisonnement ou agrave la main

bull Deacuteleacutegation signifie que le partage des droits sur les ressources est baseacute sur une peacuteriode

limiteacutee dans le temps

bull Temps revient agrave la capaciteacute du langage de politiques agrave geacuterer le temps dans la mise en

application des regravegles drsquoautorisation

Nous consideacuterons ces concepts comme eacutetant primordiaux pour notre modegravele de controcircle drsquoaccegraves

destineacute aux plate-formes RSEs Dans ce qui suit nous allons eacutetudier lrsquoeacutetat de lrsquoart des politiques de

controcircle drsquoaccegraves comment ils reacutepondent agrave ces besoins

322 Politiques de controcircle drsquoaccegraves classiques et modegraveles associeacutes

Depuis le modegravele de la matrice drsquoaccegraves de Lampson proposeacute vers la fin des anneacutees 60 plusieurs

modegraveles de controcircle drsquoaccegraves ont vu le jour et on distingue [101 37] les politiques discreacutetion-

naires (DAC Discretionary Access Control) [173] les politiques obligatoires (MAC mandatory access

control) [171] ou encore les politiques agrave base de rocircle (RBAC Role Based Access Control) [172 99]qui sont mieux adapteacutes aux organisations professionnelles En fonction des informations requises

pour la prise de deacutecision une politique drsquoautorisation est mise en œuvre sous la forme drsquoun modegravele

de seacutecuriteacute En effet un modegravele de seacutecuriteacute est un formalisme selon lequel les politiques de seacutecuriteacute

sont repreacutesenteacutees (compreacutehension) veacuterifieacutees (consistance) et appliqueacutees (exeacutecution) pour reacutepondre

aux objectifs de seacutecuriteacute du systegraveme [71] Diffeacuterents modegraveles de politiques ont eacuteteacute proposeacutes Les

51


modegraveles agrave description formelle comme Lampson [119] HRU [93] et Take-Grant [102] sont plutocirct

des modegraveles geacuteneacuteriques ie pouvant srsquoappliquer agrave toutes sortes de politiques En outre nous avons

quelques modegraveles speacutecifiques tels que les modegraveles de treillis [30 25] muraille de chine [43] agrave base

de rocircleorganisationeacutequipe [169 61 18]

FIGURE 36 ndash MAC et DAC vue globale [89]

3221 DAC

Une politique drsquoautorisation sur une ressource est dite discreacutetionnaire dans le cas ougrave elle est com-

plegravetement geacutereacutee par lrsquoutilisateur qui creacutee cette ressource Ce dernier est donc capable de transmettre

librement les droits drsquoaccegraves de la ressource qursquoil deacutetient agrave nrsquoimporte quel autre sujet De plus il est

le seul agrave pouvoir deacutetruire cette ressource

DAC a eacuteteacute largement utiliseacute dans le milieu industriel et commercial [101] Cependant DAC

souffre du problegraveme de fuite drsquoinformations Cette limite est due au fait que le modegravele DAC nrsquoimpose

aucune restriction concernant la copie des objets En drsquoautres termes on ne peut pas empecirccher un

sujet ayant le droit drsquoaccegraves agrave une ressource drsquoen faire une copie et par conseacutequent la partager (en

tant que proprieacutetaire) avec drsquoautres sujets Cela signifie qursquoau sein drsquoun environnement gouverneacute par

une politique discreacutetionnaire il faut faire confiance agrave tous les sujets qui srsquoeacutechangent des informa-

tions Ceci est loin drsquoecirctre eacutevident notamment avec les vulneacuterabiliteacutes des outils informatiques utiliseacutes

le plus souvent par des utilisateurs non expeacuterimenteacutes Un exemple simple est le cheval de Troie [71]Crsquoest pour remeacutedier agrave cette limite de confidentialiteacute que le modegravele de controcircle drsquoaccegraves obligatoire a

eacuteteacute conccedilu En plus du problegraveme de fuite drsquoinformation un autre problegraveme avec lrsquoutilisation des poli-

tiques discreacutetionnaire est ducirc agrave leur non-flexibiliteacute ce qui complique davantage leur administration

En effet pour lrsquoajout de toute entiteacute active dans le systegraveme les regravegles doivent ecirctre redeacutefinies [71]

3222 MAC

Contrairement au systegraveme discreacutetionnaire les politiques obligatoires (ou mandataires multi-

niveaux de treillis) sont deacutefinies non pas par le proprieacutetaire de la ressource mais par lrsquoadministrateur

du systegraveme dans lequel les ressources sont partageacutees Plus preacuteciseacutement les politiques MAC se basent

52


sur des eacutetiquettes de classification du niveau de sensibiliteacute de la ressource et du niveau drsquointeacutegriteacute

du sujet

Une eacutetiquette de seacutecuriteacute est affecteacutee en tant que niveau drsquohabilitation agrave chaque sujet et en guise

de classification de la sensibiliteacute pour chaque objet Ainsi les permissions sont baseacutees sur une re-

lation de comparaison entre le niveau de sensibiliteacute de la ressource demandeacutee avec le niveau de

fiabiliteacute du sujet en question Les modegraveles de politiques obligatoires sont composeacutes de deux grandes

cateacutegories ceux orienteacutes confidentialiteacute Bell-Lapabula [25] et les murailles de Chine [30] et ceux

orienteacutes inteacutegriteacute Biba [30]Dans les politiques de confidentialiteacute du type Bell-LaPadula le controcircle drsquoaccegraves se fait sur la base

de deux proprieacuteteacutes

bull la proprieacuteteacute simple qui stipule qursquoun sujet ne peut pas lire une information labelliseacutee drsquoun

niveau supeacuterieur au sien

bull la proprieacuteteacute eacutetoile interdit agrave un sujet de modifier (eacutecrire) dans une ressource de plus bas niveau

Par ailleurs on parle aussi [19] de proprieacuteteacute de tranquility qui peut ecirctre forte ou faible pour

respectivement permettre la mise agrave jour des eacutetiquettes de seacutecuriteacute en cours drsquoexeacutecution du systegraveme

de seacutecuriteacute ou pas Cette proprieacuteteacute connue aussi sous ldquohigh water mark principlerdquo initialise le niveau

de sensibiliteacute drsquoune ressource dans une session au plus bas niveau et le met agrave jour au fur et agrave mesure

en fonction des besoins de seacutecuriteacute

Quant au modegravele de Muraille de Chine sa principale vocation est la seacuteparation des entiteacutes colla-

boratives par le cloisonnement de cercles drsquoeacutechanges drsquoinformations sur la base des conflits drsquointeacuterecircts

En effet les ressources appartenant agrave des entreprises concurrentes et ne pouvant pas ecirctre acceacutedeacutees

par le mecircme utilisateur sont enregistreacutees dans une classe de conflit drsquointeacuterecirct (CIC 33) En drsquoautres

termes quand un utilisateur accegravede agrave une ressourceX appartenant agrave une entreprise donneacutee et qursquoil

tente drsquoacceacuteder ensuite agrave drsquoautres ressources qui font partie de la mecircme classe CIS lrsquoaccegraves lui sera

refuseacute et ce mecircme srsquoil avait initialement le droit drsquoacceacuteder agrave ces ressources

Concernant le modegravele drsquointeacutegriteacute de Biba il est assez similaire agrave celui de Bell-LaPadula sur le plan

conceptuel La principale diffeacuterence entre les deux modegraveles est que le modegravele de Biba met davantage

lrsquoaccent sur lrsquoaspect drsquointeacutegriteacute de ressource que le modegravele Bell-Lapabula Pour mettre lrsquoaccent sur

lrsquointeacutegriteacute ce meacutecanisme fonctionne suivant le scheacutema inverse que celui de Bell-LaPadula Ainsi

un sujet peut lire des objets drsquoun niveau supeacuterieur mais ne peut eacutecrire sur des objets de niveaux

infeacuterieurs

Ces modegraveles multi-niveaux MAC ont montreacute leur applicabiliteacute notamment dans les domaines res-

treints et feacutedeacutereacutes par la confiance comme lrsquoarmeacutee et le renseignement et ce gracircce agrave lrsquoimmuniteacute qursquoils

assurent contre les chevaux de Troie Cependant dans lrsquoenvironnement ouvert du RSE les modegraveles

de politiques obligatoires souffrent de la limite de deacutegradation des niveaux drsquointeacutegriteacute [71] En effet

suite agrave une deacutegradation de niveau de confidentialiteacute (modegravele Biba) ou agrave sa hausse qui peut parfois

converger vers le niveau de confidentialiteacute maximal (modegravele Bell-LaPabula) un problegraveme de classi-

fication est clairement identifieacute En outre les modegraveles multi-niveaux neacutecessitent une administration

unique et centraliseacutee ce qui ne convient pas vraiment agrave la nature distribueacutee des communauteacutes RSE ougrave

33 conflict of interest class

53


plusieurs entreprises indeacutependantes collaborent Une autre famille des modegraveles de controcircle drsquoaccegraves

est baseacutee sur le rocircle des sujets des requecirctes de demande drsquoaccegraves agrave savoir la famille ldquoRBACrdquo

3223 Politiques de controcircle drsquoaccegraves baseacutees sur le rocircle ndashRBAC-

Dans les politiques RBAC le rocircle est une faccedilon de modeacuteliser un ensemble de fonctions agrave la charge

drsquoune entiteacute active au sein drsquoune organisation Chacune des fonctions deacutefinissant le rocircle correspond

agrave un ensemble de tacircches qui donnent droit agrave certains privilegraveges au sein de lrsquoorganisation En drsquoautres

termes un rocircle est agrave lrsquoeacutegard drsquoun utilisateur au sein drsquoune entreprise lrsquoabstraction drsquoun ensemble

de permissions drsquoaccegraves Par deacutefinition un rocircle est associeacute agrave un certain nombre de droits drsquoaccegraves

aux ressources proteacutegeacutees Ainsi dans une entreprise ougrave les rocircles sont preacutedeacutefinis la deacutefinition des

permissions agrave lrsquoeacutegard drsquoun acteur donneacute se fait par lrsquoaffectation de ce dernier agrave un ou plusieurs rocircles

(figure 37) lui donnant accegraves aux droits associeacutes aux rocircles en question

Privilegraveges

droit 1

droit 2

droit 3

droit 4

hellip

- droit nRocircle

= droit(124)

-

-

-

-

-

-

-

FIGURE 37 ndash RBAC vue globale

Le modegravele initial de RBAC RBAC96 a eacuteteacute proposeacute par Sandhu et al dans [172] Eacutetant initiale-

ment composeacute de utilisateur permission sessions attribution et activation de rocircle RBAC0 a eacuteteacute en

premier lieu ameacutelioreacute pour supporter la hieacuterarchie des rocircles (dans RBAC1) Ensuite des contraintes

drsquoactivation de rocircle ont eacuteteacute rajouteacutees dans la version RBAC2 [75] (figure 38)

Les rocircles peuvent ecirctre structureacutes selon une hieacuterarchie qui reflegravete une ligne drsquoautoriteacute multi-

niveaux entre certains rocircles dans lrsquoentreprise Cela se fait par lrsquoheacuteritage des permissions tout en

eacutevitant les conflits entre les rocircles Par exemple dans un laboratoire de recherche le rocircle doctorant

peut heacuteriter les permissions du rocircle membre_du_laboratoire La gestion des conflits (statique ou dy-

namique) se fait gracircce agrave la seacuteparation des devoirs

Dans RBAC il existe en effet la notion de session gracircce agrave laquelle les rocircles drsquoun utilisateur sont

activeacutes ou deacutesactiveacutes en fonction de contraintes dites de seacuteparation des devoirs Le rocircle activeacute deacute-

54


FIGURE 38 ndash Modegraveles RBAC [157]

termine les autorisations qui sont disponibles pour lrsquoutilisateur agrave un moment donneacute au cours de la

session Ceci peut ecirctre utile dans la perspective de seacuteparer les devoirs drsquoune maniegravere dynamique

Le principe de seacuteparation des devoirs vise agrave reacuteduire le risque de compromettre le systegraveme de seacute-

curiteacute par un utilisateur en limitant ses droits leacutegitimes par le moyen de contraintes suppleacutemen-

taires [27 16 186] Dans cette politique obligatoire (ldquoseparation of dutiesrdquo) introduite par Clark et

Wilson [54] deux fonctions (ou plus) affecteacutees au mecircme utilisateur peuvent ecirctre compleacutementaires

mais pas ecirctre utiliseacutees en mecircme temps Par conseacutequent si lrsquoutilisateur veut utiliser une permission

lieacutee agrave un des deux rocircles il devra deacutesactiver lrsquoautre(s) rocircle(s) De plus afin de garantir lrsquointeacutegriteacute

des ressources lrsquoenjeu principal dans lrsquoattribution des rocircles dans RBAC est drsquoassocier les droits mi-

nimums agrave un utilisateur pour la reacutealisation drsquoune opeacuteration donneacutee ie ldquoleast privilegerdquo agrave travers le

rocircle correspondant

RBAC a eacuteteacute initialement conccedilu pour geacuterer le controcircle drsquoaccegraves (en optimisant lrsquoadministration des

politiques) au sein drsquoune mecircme entreprise Une entreprise composeacutee de plusieurs personnes peut

ecirctre consideacutereacutee comme un environnement collaboratif Cependant cet environnement collaboratif

interne reste restreint dans le sens ougrave le mode de fonctionnement de lrsquoentreprise avec les tacircches

affecteacutees agrave chaque membre de lrsquoentreprise sont connus agrave lrsquoavance RBAC a eacutegalement eacuteteacute utiliseacute dans

des environnements plus ouverts avec des structures collaboratives davantage heacuteteacuterogegravenes tels que

les eacutequipes et les milieux multi-organisationnel

RBAC Extensions collaboratives

De nombreux travaux inspireacutes du modegravele RBAC se sont orienteacutes vers des environnements colla-

boratifs comme les eacutequipes les organisations et les reacuteseaux sociaux On trouve par exemple Organi-

zation Based Access Control OrBAC [111] Multi-organization Based Access (control Multi-OrBAC) [72]

55


Team based access control [185 195 83] Relationship-based access control [53]

Dans le modegravele des politiques baseacutees sur la notion drsquoeacutequipe TMAC lrsquoentiteacute principale est lrsquoldquoeacutequiperdquo

qui consiste en une abstraction drsquoun ensemble de sujets dans une eacutequipe de collaboration ayant

un objectif commun La speacutecificiteacute dans ce modegravele est que lrsquoattribution des rocircles et lrsquoactivation des

permissions sont geacutereacutees seacutepareacutement Plus preacuteciseacutement un utilisateur obtient par le biais de son

appartenance agrave une eacutequipe le droit drsquoaccegraves aux ressources de lrsquoeacutequipe Cependant le droit drsquoaccegraves

octroyeacute agrave lrsquoutilisateur deacutependra de son rocircle ainsi que lrsquoactiviteacute courante de lrsquoeacutequipe en question

Par exemple [84] un meacutedecin est habiliteacute agrave prescrire des traitements en revanche il se peut que la

politique de lrsquohocircpital ougrave il exerce lui permette de ne traiter uniquement que les patients dont il dispose

drsquoun historique de suivi Gracircce agrave TMAC cette politique peut ecirctre mise en œuvre Il suffit drsquoassigner

le meacutedecin agrave lrsquoeacutequipe de traitement du patient ainsi il sera en mesure drsquoacceacuteder aux informations de

suivi du patient Agrave ce dernier niveau le rocircle du meacutedecin peut ecirctre utiliseacute pour deacutefinir le niveau de

granulariteacute de lrsquoaccegraves aux informations du patient

Quant aux modegraveles OrBAC et Multi-OrBAC ils sont baseacutes sur une conception qui va au-delagrave de

lrsquoabstraction du sujet par un rocircle ou une eacutequipe En effet dans OrBAC les eacuteleacutements de la cible drsquoune

regravegle agrave savoir le sujet la ressource et lrsquoaction sont respectivement abstraits par le rocircle la vue et

lrsquoactiviteacute OrBAC permet de deacutefinir plusieurs types de regravegle de controcircle drsquoaccegraves agrave savoir des permis-

sions des interdictions des obligations ainsi que des deacuteleacutegation En outre OrBAC supporte la modeacuteli-

sation du contexte dans les regravegles de controcircle drsquoaccegraves Par ailleurs une regravegle dans OrBAC peut avoir

plusieurs types agrave savoir ldquoPermissionrdquo ldquoInterdictionrdquo ou ldquoObligationrdquo Ainsi une regravegle dans OrBAC

prend la forme du quintuplet Type-de-regravegle (org rocircle activiteacute vue contexte) La deacuteleacutegation est geacutereacutee

par un ensemble de preacutedicats baseacutes sur le type Permission [26] Le scheacutema de veacuterification drsquoune regravegle

est le suivant dans lrsquoorganisation org si le sujet possegravede le bon rocircle et lrsquoaction deacutesireacutee appartient

agrave lrsquoactiviteacute la ressource demandeacutee fait partie de la vue et le contexte est valideacute entre le sujet lrsquoaction

et la ressource alors le sujet peut obtenir lrsquoaccegraves demandeacute La variante Multi-OrBAC [71] est une

adaptation du modegravele OrBAC initial pour les environnements multi-organisationnel distribueacutes et heacute-

teacuterogegravenes La nouveauteacute est que lrsquoabstraction des rocircles activiteacutes et vues devient lieacutee agrave lrsquoorganisation

ie rocircleactiviteacuteressource_dans_Organisation Ainsi le modegravele drsquoune regravegle drsquoun sujet appartenant agrave

lrsquoorganisation Org1 souhaitant acceacuteder agrave une ressource appartenant agrave lrsquoorganisation Org2 devient

PermissionProhibitionObligation (Rocircle dans Org1 Activiteacute dans Org2 Vue dans Org2 Contexte dans

Org2) 34 Lrsquoimplantation de ce modegravele est baseacutee sur une administration centraliseacutee qui favorise lrsquoin-

teropeacuterabiliteacute en matiegravere de gestion des accreacuteditations dans les environnements collaboratifs

3224 Synthegravese

Dans un environnement collaboratif social le partage de ressource est geacuteneacuteralement centreacute sur

lrsquoacteur collaboratif (user-centric) [136 88 92] Le controcircle drsquoaccegraves discreacutetionnaire DAC [173] reacutepond

agrave cette caracteacuteristique vu que le partage de ressources se fait agrave la discreacutetion de lrsquoacteur qui deacutetient la

ressource En revanche les politiques DAC sont difficiles agrave administrer car il faut les remettre agrave jour

34 Lrsquoutilisation des majuscule pour chaque composant de la cible signifie qursquoil srsquoagit drsquoinstances plutocirct que variables

56


agrave chaque fois qursquoun nouvel utilisateur rejoint une communauteacute de collaboration donneacutee De plus le

controcircle discreacutetionnaire est sensible agrave la fuite drsquoinformation et donne un pouvoir exageacutereacute aux acteurs

dont certains peuvent ecirctre malintentionneacutes et nuire ainsi agrave la seacutecuriteacute du systegraveme

Donc un besoin de controcircle sur les politiques des acteurs collaboratifs srsquoimpose Cela peut ecirctre

reacutesolu par le controcircle drsquoaccegraves obligatoire MAC qui se base sur des contraintes relieacutees au niveau drsquohabi-

litation du sujet ainsi que la classification de la sensibiliteacute de la ressource Neacuteanmoins ces contraintes

fortes pour les entreprises [71] sont difficiles agrave geacuterer dans la pratique notamment dans un cadre col-

laboratif multi-organisationnel En effet srsquoil est possible drsquoapporter une eacutevaluation pertinente sur

lrsquointeacutegriteacute de ressources au sein drsquoune mecircme entreprise cette tacircche reste beaucoup plus compliqueacutee

(et souvent source de deacutesaccords) quand il srsquoagit de plusieurs entreprises indeacutependantes eacuteventuel-

lement concurrentes De plus le niveau drsquointeacutegriteacute dans les modegraveles MAC converge facilement vers

le niveau extrecircme 35 et par conseacutequent bride la collaboration Quant agrave lrsquoadministration des poli-

tiques elle nrsquoest pas meilleure par rapport au contexte RSE que celle des politiques DAC En effet

les politiques MAC neacutecessitent des mises agrave jour souvent manuelles des labels de classifications des

ressources etou acteurs

Pour faire face agrave ce besoin drsquoadaptation aux changements freacutequents en matiegravere drsquoacteurs dans

lrsquoenvironnement RSE le modegravele RBAC [172] se preacutesente comme une meilleure alternative en reacutedui-

sant consideacuterablement cette complexiteacute de mise agrave jour de politique En effet RBAC a eacuteteacute tregraves attractif

degraves ses premiegraveres applications car il est possible de le configurer de telle sorte qursquoil supporte les po-

litiques MAC et DAC [76] Dans une politique RBAC lrsquoideacutee principale consiste agrave regrouper plusieurs

acteurs selon un mecircme critegravere drsquohabilitation de statut ou de compeacutetences pour la reacutealisation drsquoun

certain nombre de tacircches Ainsi lrsquoadministration des politiques RBAC se focalise en majeure partie

sur la gestion des rocircles Par exemple pour chaque nouvel acteur qui rejoint une communauteacute un an-

cien etou nouveau rocircle est attribueacute Cependant le modegravele RBAC initial a eacuteteacute victime de son propre

succegraves car il nrsquoest en effet pas vraiment adapteacute agrave de nombreux contextes collaboratifs dans lesquels

on a essayeacute de lrsquoutiliser [101] La principale limite du modegravele RBAC est le manque de flexibiliteacute dans

la deacutefinition des contraintes sur les rocircles de telle sorte que pour chaque restriction un nouveau rocircle

doit ecirctre deacutefini

Au fur et agrave mesure de lrsquoutilisation du modegravele RBAC dans divers domaines de nouveaux besoins

ont eacuteteacute releveacutes et ont donneacute lieu agrave de nombreuses extensions comme TMAC OrBAC et multi-Or-

BAC [185 111 72] Neacuteanmoins plusieurs limites lieacutees agrave lrsquoutilisation des politiques RBAC et ses

extensions persistent dans un environnement RSE Drsquoabord la question se pose par rapport au deacutefi

de nrsquoattribuer que le moindre-privilegravege agrave un utilisateur donneacute dans la proceacutedure drsquoaffectation de rocircle

En outre la gestion des rocircles reste une tacircche non eacutevidente car il faut une bonne connaissance du

mode de fonctionnement des entreprises avec les besoins neacutecessaires en matiegravere de personnel par

rapport aux objectifs de chaque entreprise Il a mecircme eacuteteacute deacutemontreacute par Jianfeng Lu et al dans [133]que le problegraveme de mise agrave jour des rocircles est dans certain cas lineacuteaire Neacuteanmoins dans le cas geacuteneacuteral

il srsquoagit drsquoun problegraveme de complexiteacute drsquoordre NP-complet Par ailleurs agrave lrsquoimage de lrsquoheacuteteacuterogeacuteneacuteiteacute de

lrsquoenvironnement RSE les diffeacuterents modegraveles drsquoextensions de RBAC tels que TMAC Or-BAC et Multi-

35 Maximal ou minimal en fonction du modegravele inteacutegriteacuteconfidentialiteacute

57


OrBAC rajoutent de la complexiteacute dans la deacutefinition des politiques de controcircle drsquoaccegraves [182] Cela

est ducirc agrave lrsquoheacuteteacuterogeacuteneacuteiteacute lieacutee agrave la maniegravere dont les entreprises deacutefinissent les rocircles et les privilegraveges

qui leurs sont associeacutes De plus ces modegraveles manquent de flexibiliteacute dans le cas de reconstruction

drsquoeacutequipe ou de reacuteorganisation hieacuterarchique drsquoune organisation

Pour reacutesumer les modegraveles X-RBAC ne peuvent pas ecirctre ldquola solutionrdquo pour notre contexte RSE

Car outre le pheacutenomegravene drsquoexplosion de rocircle et le fait que les gens changent assez freacutequemment leurs

travail dans le milieu professionnel la collaboration peut ecirctre compliqueacutee dans le cas de diffeacuterentes

seacutemantiques drsquoun mecircme intituleacute de rocircle dans deux entreprises indeacutependantes

Ainsi dans le but drsquoobtenir un cadre de collaboration fluide sur le long terme la notion du rocircle

doit ecirctre flexible de telle sorte qursquoelle puisse facilement homogeacuteneacuteiser les seacutemantiques des rocircles

entre les diffeacuterents partenaires Cela est possible avec la combinaison du rocircle avec drsquoautres attributs

de profil de collaboration eg la reacuteputation lrsquoexpeacuterience professionnelle le niveau drsquohabilitation la

position geacuteographique etc

323 Attribute Based Access Control

Selon Vincent Hu et ses collegravegues au NIST 36 ldquoAttribute-based access control (ABAC) is a flexible

approach that can implement AC policies limited only by the computational language and the richness

of the available attributes making it ideal for many distributed or rapidly changing environmentsrdquo[95]Nous nous sommes en premier lieu inspireacutes de cette deacutefinition pour eacutetudier les avantages de la

modeacutelisation ldquoABACrdquo dans notre contexte RSE

En effet vu que lrsquoidentiteacute du demandeur son rocircle ou son groupe (organisation) ne sont pas assez

suffisants pour exprimer des politiques dans un monde multi-organisationnel heacuteteacuterogegravene [95] lrsquoideacuteal

est drsquoavoir plus de liberteacute et de choix pour la deacutefinition drsquoune politique Cette motivation a eacuteteacute lrsquoideacutee

principale derriegravere la conception des politiques ABAC Comme le montre la figure 39 une politique

ABAC se base sur un mix entre certains attributs choisis drsquoune maniegravere arbitraire concernant le

demandeur drsquoaccegraves (le sujet) lrsquoobjet deacutesireacute (la ressource) ainsi que les attributs de lrsquoenvironnement

(le contexte) Un attribut prend la forme drsquoune paire Nom Valeur

Par ailleurs la modeacutelisation ABAC permet de garder les avantages des politiques classiques telles-

que DAC MAC RBAC ou Or-BAC tout en remeacutediant agrave leurs limites respectives En effet ABAC offre

plus drsquoexpressiviteacute agrave lrsquoeacutegard des composants les plus importants pour la deacutefinition drsquoune politique de

controcircle drsquoaccegraves agrave savoir le sujet lrsquoobjet et le contexte Par exemple lrsquoabstraction du sujet via un

rocircle eacutequipe ou une organisation peut ecirctre un simple attribut qui srsquoajoute agrave ceux qui deacutefinissent le

profil du sujet en question La flexibiliteacute drsquoABAC concerne eacutegalement le modegravele MAC (ie les niveaux

drsquointeacutegriteacute) et le modegravele DAC (ie les listes des identiteacutes des acteurs autoriseacutes) Dans [101] on trouve

une deacutemonstration drsquoeacutequivalence entre ABAC et les modegraveles classiques de controcircle drsquoaccegraves De plus

la modeacutelisation du contexte devient tregraves flexible car diffeacuterents attributs comme le temps lrsquoadresse

IP le type de terminal etc peuvent ecirctre facilement modeacuteliseacutes (ie sous la forme Nom Valeur) et

inteacutegreacutes dans les regravegles et les politiques de controcircle drsquoaccegraves ABAC permet en outre de reacuteunir la

36 National Institute of Standards and Technology

58


FIGURE 39 ndash Sceacutenario de controcircle drsquoaccegraves ABAC [94]

plupart des extensions de RBAC sous un mecircme framework ABAC [101]

En outre gracircce agrave ABAC nous avons une administration moins coucircteuse des regravegles En effet afin de

modeacuteliser toutes les regravegles possibles agrave partir drsquoun ensemble drsquoattributs binaires (ie pas de reacutepeacutetition

du mecircme attribut dans la mecircme regravegle) ABAC neacutecessite 2n regravegles pour n attributs dans le pire des

cas compareacutee agrave 2n rocircles dans RBAC [117] par exemple

Nous croyons vivement agrave la compatibiliteacute et lrsquoadaptabiliteacute du modegravele ABAC agrave notre contexte

des RSEs En effet gracircce aux attributs qui modeacutelisent les regravegles de controcircle drsquoaccegraves ABAC nous

permet de reacutepondre agrave plusieurs besoins notamment lrsquoabstraction des cibles de regravegles la flexibiliteacute

de deacutefinition de conditions et obligations les politiques drsquointerdictions et la flexibiliteacute dans la gestion

des contraintes du contexte

Par rapport agrave la logique deacuteontique [108 100 60 63] qui permet de deacutefinir des regravegles drsquointer-

diction ABAC assure la faciliteacute de changement de lrsquoeacutetat drsquoune regravegle en basculant son type drsquoune

permission agrave une interdiction et ce simplement gracircce agrave la mise agrave jour de lrsquoattribut qui deacutesigne le

type de la regravegle Par ailleurs une ressource peut ecirctre la coproprieacuteteacute de plusieurs acteurs [88] faisant

59


partie de la mecircme entreprise ou drsquoentreprises distinctes Cela qui signifie qursquoil faut en outre prendre

en compte lrsquoaspect combinaison de regravegles et politiques de controcircle drsquoaccegraves [142 98 145 99 63] Cela

peut ecirctre bien traiteacute gracircce aux strateacutegies de combinaison de regravegles dans des ensembles de politiques

et des policySets de XACML (que nous aborderons dans ce qui suit)

324 Mise en œuvre de politiques ABAC

Dans cette section nous allons aborder lrsquoaspect de la mise en œuvre de politique de controcircle

drsquoaccegraves Nous allons nous focaliser sur la mise en œuvre drsquoun modegravele ABAC

3241 eXtensible Access Control Markup Language ldquoXACMLrdquo - un formalisme structureacute -

XACML ldquoeXtensible Access Control Markup Languagerdquo est un standard drsquoOASIS fortement lieacute agrave

lrsquoimplantation des politiques ABAC XACML [164] fournit deux facettes dans le domaine du controcircle

drsquoaccegraves agrave savoir un langage de deacutefinition de politiques et aussi un language de deacutecision (ie requecirctes

etou reacuteponses) pour le processus du controcircle drsquoaccegraves Le langage de politiques est utiliseacute pour deacutecrire

les exigences geacuteneacuterales pour le controcircle drsquoaccegraves et sert agrave deacutefinir de nouvelles fonctions types de

donneacutees logique de combinaison etc Quant au langage de requecirctereacuteponse il permet de formuler

une requecircte de demande drsquoaccegraves afin de savoir si oui ou non une action donneacutee doit ecirctre autoriseacutee

et interpregravete le reacutesultat de cette requecircte Le reacutesultat de cette requecircte inclut toujours une reacuteponse qui

permet de savoir si la demande devrait ecirctre autoriseacutee Le format de la reacuteponse prend une des quatre

valeurs suivantes Permit Deny Indeterminate (au cas ougrave de manque de paramegravetres etou erreur) 37

ou Not Applicable (le service en question ne peut pas reacutepondre agrave la requecircte)

1 Requecircte 7 Reacuteponse

2 Demande Attribut 3 Attribut5 Politique

4 Requecircte + attributs

6 Deacutecision

PEP

PIPPAP

PDP

FIGURE 310 ndash XACML vue abstraite

37 Si une erreur est survenue ou une valeur requise manquait et par conseacutequent la deacutecision ne peut ecirctre calculeacutee

60


Lorsqursquoun acteur veut acceacuteder agrave une ressource une requecircte est eacutetablie aupregraves de lrsquoentiteacute qui

protegravege la ressource en question agrave savoir le Policy Enforcement Point (PEP) Le PEP forme de son

cocircteacute une requecircte baseacutee sur les attributs du demandeur la ressource en question lrsquoaction et drsquoautres

informations relatives agrave la demande Le PEP envoie ensuite cette demande agrave un autre point chargeacute

de la prise de deacutecision agrave savoir le Policy Decision Point (PDP) Afin de produire sa reacuteponse concer-

nant lrsquoapprobation de lrsquoaction le PDP examine la requecircte par rapport agrave un ensemble de politiques

Ensuite la reacuteponse du PDP est envoyeacutee au PEP qui peut alors autoriser ou refuser lrsquoaccegraves au deman-

deur Le PEP et le PDP peuvent aussi bien ecirctre contenus dans une seule application ou bien ecirctre

reacutepartis (ie distribueacutes) sur plusieurs serveurs comme la plate-forme Cardea [123] La figure 310

illustre les composants ainsi que le mode de fonctionnement de XACML Il existe aussi deux modules

compleacutementaires pour lrsquoaccomplissement du processus de controcircle drsquoaccegraves agrave savoir

bull le PIP (Policy Information Point) lrsquoentiteacute ougrave les informations (attributs) relatives aux utilisa-

teurs ressources et lrsquoenvironnement sont stockeacutees

bull le PAP (Policy Administration Point) le conteneur des regravegles et politiques de controcircle drsquoaccegraves

Comme illustreacute dans la figure 310 le processus se deacuteroule ainsi

1 le PEP reccediloit une requecircte drsquoautorisation drsquoaccegraves agrave une ressource

2 le PEP reacutecupegravere aupregraves du PIP les attributs neacutecessaires pour lrsquoeacutetablissement drsquoune requecircte

conforme afin de la transmettre au PDP

3+4 le PEP transmet au PDP la requecircte bien formuleacutee lrsquoenvironnement (contexte) le sujet

(consommateur) lrsquoaction et la ressource deacutesireacutee

5 le PDP interagit avec le PAP pour reacutecupeacuterer les politiques drsquoaccegraves preacuteceacutedemment eacutetablies ou

eacutetablies par rapport aux nouvelles valeurs

6+7 le PDP prend une deacutecision (en fonction des attributs de la requecircte reccedilue) et la transmet au

PEP qui agrave son tour retransmet la reacuteponse drsquoautorisation drsquoaccegraves agrave la ressource agrave lrsquoutilisateur

principal

La reacuteponse finale du PDP peut ecirctre

une autorisation ie Permit

un refus ie Deny

aucune regravegle ne srsquoapplique agrave la requecircte ie Not applicable

ou bien Indeterminate dans le cas ougrave des problegravemes drsquoexeacutecution sont deacutetecteacutes

Politiques de controcircle drsquoaccegraves XACML

Agrave la racine de chaque document de politique XACML on trouve une Policy (figure 311) ou un

PolicySet Une Policy regroupe deux ou plusieurs regravegles (Rules) Deux ou plusieurs politiques (Po-

licy) peuvent eacutegalement ecirctre regroupeacutees au sein drsquoun ensemble appeleacute PolicySet Ainsi les processus

drsquoeacutevaluation drsquoune Policy et drsquoun PolicySet XACML neacutecessitent respectivement des meacutecanismes de

combinaison de regravegles et de politiques Comme meacutecanisme de combinaison nous pouvons appliquer

les strateacutegies suivantes

61


FIGURE 311 ndash Politique XACML [164]

bull Deny-Overrides si au moins une regraveglepolitique est non autoriseacutee la requecircte ne sera pas

approuveacutee

bull Permit-Overrides si au moins une regraveglepolitique est autoriseacutee la requecircte sera approuveacutee

bull All-permit pour qursquoune requecircte soit approuveacutee toutes les regraveglespolitiques doivent ecirctre

autoriseacutees

bull All-Deny pour qursquoune requecircte soit non approuveacutee toutes les regraveglespolitiques ne doivent

pas ecirctre autoriseacutees

bull All-Not-Applicable si toutes les regraveglespolitiques ne sont pas applicables faute drsquoun manque

de paramegravetre(s) ou erreur(s) interne(s)

Neacuteanmoins afin drsquoeacuteviter les problegravemes drsquoincoheacuterences toutes ces strateacutegies de combinaison ne

62


peuvent pas ecirctre utiliseacutees ensemble dans le mecircme modegravele de politique ou de PolicySet Prenons

lrsquoexemple drsquoune politique qui contient des regravegles avec les deux effets Permit et Deny pour la mecircme

cible Ainsi si on opte pour une strateacutegie Deny-Overrides il sera incoheacuterent drsquoutiliser avec une strateacute-

gie Permit-Overrides il faudra plutocirct utiliser avec une strateacutegie All-permit et vice-versa Cependant

la strateacutegie All-Not-Applicable est utilisable avec toutes les strateacutegies 38

Regravegles de controcircle drsquoaccegraves XACML

Une regravegle est la plus petite uniteacute de deacutecision dans une politique de controcircle drsquoaccegraves XACML Une

regravegle est composeacutee drsquoune cible une ou plusieurs conditions et un effet

bull Cible Une des tacircches du PDP est de trouver une politique qui srsquoapplique agrave la requecircte reccedilue

Une cible est essentiellement un ensemble de conditions simplifieacutees concernant le sujet la

ressource et lrsquoaction qui doivent correspondre agrave ceux de la requecircte en question XACML utilise

des fonctions booleacuteennes pour comparer les valeurs trouveacutees dans une requecircte agrave celles in-

cluses dans les cibles des regravegles existantes Si toutes les conditions drsquoune cible sont remplies

alors sa regravegle ainsi que la politique et le PolicySet associeacutes peuvent ecirctre eacutevalueacutes La cible peut

eacutegalement ecirctre utiliseacutee comme index pour regrouper etou rechercher des politiques etou

PolicySet

bull Condition et effet Une fois la cible trouveacutee la regravegle correspondante peut ecirctre eacutevalueacutee pour

donner une suite (ie effet) positive ou neacutegative agrave la requecircte en question La reacuteponse est

ainsi baseacutee sur lrsquoeacutevaluation des conditions de la regravegle gracircce agrave une fonction booleacuteenne Cette

eacutevaluation peut renvoyer le rapport Indeterminate si des erreurs drsquoeacutevaluations se produisent

Si toutes les conditions de la regravegle sont satisfaites donc lrsquoeffet de la regravegle sera Permit ce

qui signifie que le sujet de la requecircte est autoriseacute agrave reacutealiser lrsquoaction deacutesireacutee sur la ressource

demandeacutee Dans le cas contraire lrsquoeffet sera Deny et la requecircte reccedilue sera ainsi refuseacutee

3242 Le point sur XACML par rapport agrave OpenPaaS RSE

XACML est sucircrement lrsquoun des langages les mieux adapteacutes pour lrsquoimplantation du modegravele ABAC

car il a montreacute son efficaciteacute dans le cadre de plusieurs projets agrave lrsquoimage de Cardea [123] epSOS [7]NHIN [8] Cepedant quand il srsquoagit drsquoenvironnement user-centric tel qursquoun RSE XACML preacutesente

quelques limites En effet bien qursquoil existe des eacutediteurs de politiques comme XACML studio [5] et

UMU-XACML-Editor [192] la conception des politiques XACML reste une tacircche non eacutevidente pour

des utilisateurs non expeacuterimenteacutes Par conseacutequent cela risque drsquoinduire le systegraveme en erreur agrave cause

drsquoeacuteventuelles incoheacuterences des regravegles deacutefinies En drsquoautres termes XACML est verbeux et manque de

capaciteacute de veacuterification automatique de la coheacuterence des politiques Crsquoest pour cela que de nombreux

travaux offrant un formalisme logique agrave XACML ont eacuteteacute proposeacutes

Dans [114] les auteurs se basent sur la logique descriptive et les ontologies (OWL) pour formali-

ser XACML dans le but de pouvoir faire des analyses de consistance des politiques XACML ie le rai-

sonnement logique Pour cela ils se basent sur un raisonneur de Logique de Description Dans [45]

38 De plus amples deacutetails sur cet aspect seront preacutesenteacutes dans le chapitre cf Controcircle drsquoaccegraves

63


les auteurs formalisent les politiques XACML en utilisant lrsquoalgegravebre de processus CSP (Communicating

Sequential Processes) Ils se basent sur une comparaison de politiques en utilisant du Model-Checking

pour la veacuterification de la consistance Dans [138] les auteurs proposent une meacutethode baseacutee sur la

logique du premier ordre pour lrsquoanalyse des inteacuteractions et la deacutetection et la visualisation des eacuteven-

tuels conflits dans les politiques XACML Leur meacutethode de veacuterification est fondeacutee sur le langage Alloy

Dans [160] les auteurs proposent une algegravebre pour la modeacutelisation des politiques de controcircle drsquoac-

cegraves en prenant en consideacuteration les permissions ainsi que les interdictions Les auteurs montrent

eacutegalement que cette algegravebre est facilement transformable en langage XACML Dans [152 193] X-

STROWL une extension geacuteneacuteraliseacutee de XACML est preacutesenteacutee La speacutecificiteacute de ce modegravele est qursquoil est

baseacute sur le rocircle et supporte des contraintes geacuteo-temporelles En effet agrave partir drsquoune hieacuterarchie de

rocircles (deacutefinie gracircce agrave des ontologies OWL [184]) lrsquoideacutee est de deacuteterminer les relations entre les rocircles

gracircce agrave des fonctions XACML La modeacutelisation avec les ontologies offre la capaciteacute de veacuterification

automatique au modegravele concernant la hieacuterarchie des rocircles et lrsquoheacuteritage des permissions Les auteurs

dans [139] deacutefinissent une seacutemantique formelle de XACML gracircce agrave la grammaire BNF [113] qui a

eacuteteacute implanteacutee par la suite dans un framework baseacute sur Java et de lrsquooutil ANTLR Lrsquoideacutee fondamentale

derriegravere ce travail est de clarifier toutes les ambiguiumlteacutes et les aspects complexes du standard XACML

Par ailleurs la gestion du contexte de collaboration est limiteacute dans XACML En effet bien que

les requecirctes XACML sont parfois consideacutereacutees comme des eacuteveacutenements le formalisme XACML reste

limiteacute sur ce cocircteacute En effet XACML ne considegravere pas les changements dynamiques en temps reacuteel

des attributs de lrsquoenvironnement Ce challenge a eacuteteacute releveacute dans [153] et le reacutesultat est un langage

de politique appeleacute xfACL (formaliseacute en OCaml) qui combine XACML avec RBAC La gestion des

changements dynamiques des attributs du contexte est geacutereacutee gracircce agrave des politiques auxiliaires De

plus agrave lrsquoimage des preacuteceacutedant travaux citeacutes qui offrent un formalisme logique au Standard XACML agrave

notre connaissance il nrsquoy a pas de modegravele capable de geacuterer les changements dynamiques temporels

de lrsquoenvironnement tout en eacutetant capable de faire un raisonnement efficace sur la coheacuterence des

regravegles deacutefinies par des utilisateurs non expeacuterimenteacutes tel que crsquoest le cas dans les RSEs En outre la

gestion du temps dans ces travaux reste limiteacutee et statique

Pour reacutesumer la prise en compte du contexte dans les diffeacuterents modegraveles de controcircle drsquoaccegraves

est limiteacutee agrave des situations preacutedeacutefinies Cependant dans un environnement collaboratif riche en

changements tel qursquoun RSE il est important drsquoaller au delagrave de ces situations preacutedeacutefinies et drsquoinclure

de maniegravere plus dynamique les proprieacuteteacutes lieacutees au changements contextuels dans le processus du

controcircle drsquoaccegraves En effet lrsquoeacutetude de la consideacuteration du contexte a eacuteteacute davantage approfondie dans

le cadre drsquoautres travaux qui ont traiteacute un autre type de politiques de controcircle drsquoaccegraves agrave savoir les

politiques de controcircle drsquoaccegraves ldquodynamiquesrdquo La principale ideacutee derriegravere le controcircle drsquoaccegraves dynamique

est que les politiques ainsi que les deacutecisions du controcircle drsquoaccegraves soient variables dans le temps et

ce en fonction drsquoun certain nombre de paramegravetres relatifs au contexte

64


325 Controcircle drsquoaccegraves dynamique

Contrairement aux modegraveles classiques de controcircle drsquoaccegraves le controcircle drsquoaccegraves dynamique va au

delagrave de politiques preacutedeacutefinies Il a eacuteteacute deacuteveloppeacute [178 123 187] dans la perspective de rendre les

deacutecisions de controcircle drsquoaccegraves (requecirctesreacuteponses) plus dynamiques et reacuteactives vis-agrave-vis drsquoinforma-

tions capteacutees en temps reacuteel Ces informations peuvent ecirctre lieacutees agrave diffeacuterents concepts comme le

contexte la confiance (la reacuteputation) et le risque [194 44]

3251 Contexte et controcircle drsquoaccegraves

Dans un environnement collaboratif heacuteteacuterogegravene la mobiliteacute dans lrsquoutilisation des terminaux in-

formatiques est un avantage preacutecieux Par exemple le fait qursquoun acteur puisse rejoindre son reacuteseau

collaboratif (eacutequipe entreprise etc) depuis diffeacuterents types de terminaux (ordinateur smartphone

etc) et depuis nrsquoimporte quel endroit geacuteographique (une autre villes un autre pays etc) Cependant

cette flexibiliteacute preacutesente certaines vulneacuterabiliteacutes en matiegravere de seacutecuriteacute Cela peut ecirctre ducirc au manque

de fiabiliteacute des proceacutedures drsquoauthentification qui va lier une identiteacute (authentifieacutee) agrave des permissions

drsquoaccegraves Plus preacuteciseacutement on ne peut pas ecirctre totalement sucircr qursquoun acteur ne se fait pas passer pour

un autre (ie usurpation drsquoidentiteacute) En revanche cette vulneacuterabiliteacute peut ecirctre atteacutenueacutee au moyen de

la veacuterification de certaines contraintes lieacutees au contexte Par exemple si on deacutetecte une connexion

depuis une adresse IP drsquoun pays geacuteographiquement tregraves eacuteloigneacute de celui ougrave se trouve lrsquoacteur en

question lrsquoaccegraves peut ecirctre alors refuseacute

Le contexte repreacutesente lrsquoaspect dynamique drsquoune situation [182] Une situation dynamique change

agrave travers le temps Ainsi le temps est lrsquoune des proprieacuteteacutes les plus importantes du contexte ce qui a

susciteacute lrsquointeacuterecirct des chercheurs degraves lrsquoeacutemergence des plate-formes collaboratives En effet la notion du

temps dans RBAC a eacuteteacute initialement introduite par Bertino et al dans Temporal-RBAC (TRBAC) [27]et ce dans le but de geacuterer les contraintes temporelles drsquoactivation (ou deacutesactivation) peacuteriodique des

rocircles et les deacutependances temporelles entre les actions autoriseacutees Par exemple lrsquoutilisateur Bob ne

peut exeacutecuter lrsquoactionB qursquoune fois lrsquoactionA est reacutealiseacutee par Alice Generalized Temporal Role based

Access Control (GTRBAC) [106] est une version plus geacuteneacuterique du modegravele TRBAC Dans GTRBAC les

hieacuterarchies de rocircle ainsi que leurs deacutependances ont eacuteteacute traiteacutees sur les plans temporels et seacuteman-

tiques

Par ailleurs de nombreux travaux se sont focaliseacutes sur lrsquoeacutevolution des privilegraveges dans le temps

Par exemple dans CCRR Collaborative Concur Task Trees [144] lrsquoactivation des rocircles est relieacutee agrave lrsquoeacutetat

drsquoavancement des tacircches dans le cadre drsquoun objectif commun Lrsquoideacutee est de deacutecomposer les tacircches

complexes en plusieurs sous-tacircches simples et atomiques et de geacuterer les concurrences entre elles

Un autre exemple drsquoun meacutecanisme de controcircle drsquoaccegraves orienteacute workflow est preacutesenteacute dans [96] sous

le nom de SecureFlow Il srsquoagit drsquoun systegraveme 39 de gestion de flux opeacuterationnels qui se base sur une

hieacuterarchie de rocircle un regroupement des objets (sous forme drsquoensemble et sous ensembles) et un

intervalle de temps et pendant lequel la tacircche doit ecirctre exeacutecuteacutee

39 Sous forme drsquoun site web

65


Un environnement collaboratif tel qursquoun RSE a besoin drsquoune vue dynamique sur le contexte dans

le sens ougrave la modeacutelisation du contexte ne doit pas se limiter agrave des situations preacutedeacutefinies En effet

agrave lrsquoimage de la grande freacutequence drsquointeractions au sein drsquoun environnement RSE on peut consideacute-

rer ce dernier comme eacutetant un environnement riche en eacuteveacutenements Un eacuteveacutenement est une action

reacutealiseacutee par un acteur agrave un instant donneacute et capteacutee par un systegraveme de supervision Ainsi dans un

environnement RSE tous les eacuteveacutenements ne doivent pas ecirctre totalement ignoreacutes Crsquoest pour cela que

la plupart des approches proposeacutees de modeacutelisation du contexte ne srsquoaccordent pas vraiment avec la

nature dynamique du RSE

Encore plus loin dans la modeacutelisation du contexte

Lrsquoaspect eacuteveacutenementiel (introduit briegravevement dans la section cf 321) a eacuteteacute exploiteacute et inteacutegreacute

dans de nombreux travaux qui font partie de la famille des modegraveles de politiques ECA Parmi ces

derniers on distingue The Policy Description Language [131 29] Law-Governed Interaction [142] et

Ponder [63] Lrsquoun des premiers langages speacutecialiseacute dans lrsquoadministration des reacuteseaux PDL [131 29]est un langage de politiques dans lequel les eacuteveacutenements peuvent ecirctre simples ou composeacutes agrave base

de connecteurs logiques (etou) ou temporels Dans LGI [142] les politiques drsquoautorisation se foca-

lisent sur le controcircle drsquoaccegraves dans les environnements collaboratifs en controcirclant le flux drsquoeacutechange

de messages entre des agents distribueacutes Dans [63] les auteurs preacutesentent Ponder un langage de

politiques baseacutees sur le rocircle pour la gestion de seacutecuriteacute dans les systegravemes distribueacutes Implanteacute en

Java Ponder se preacutesente comme eacutetant un langage deacuteclaratif et orienteacute-objet Par ailleurs dans [115]les auteurs preacutesentent un modegravele de politiques drsquoautorisation et drsquoobligation appeleacute EB3 SEC baseacute

sur les eacuteveacutenements dans les systegravemes dynamiques Ce modegravele est fondeacute sur une meacutethode formelle

baseacutee sur une algegravebre de processus permettant de speacutecifier des politiques de seacutecuriteacute fonctionnelles

dans des systegravemes drsquoinformation

Dans un langage de politiques de controcircle drsquoaccegraves dynamique lrsquoaspect eacuteveacutenementiel est tregraves

avantageux car il donne la possibiliteacute de prendre en consideacuteration les eacuteveacutenements qui se produisent

dans lrsquoenvironnement collaboratif (ie contexte) et ce en temps reacuteel Les langages de politiques

baseacutes sur le paradigme ECA preacuteceacutedemment citeacutes ont eacuteteacute deacuteveloppeacutes dans des contextes particuliers

afin de reacutepondre agrave des objectifs de seacutecuriteacutes speacutecifiques En effet ces langages ne permettent pas

de couvrir tous les besoins que nous avons releveacutes (cf chapitre Probleacutematique et motivations)

notamment en matiegravere de flexibiliteacute des politiques et la gestion des permissions temporaires ie

deacuteleacutegations Cela signifie qursquoils ne sont pas tregraves bien adapteacutes agrave la nature dynamique de notre contexte

de probleacutematique agrave savoir les communauteacutes RSE Par conseacutequent nous nous sommes focaliseacutes sur

la conception drsquoun langage de politiques de controcircle drsquoaccegraves dynamique suivant le paradigme ECA

sur la base du formalisme Event-Calculus (cf Section 327)

Le contexte est un cadre geacuteneacuteral qui inclut plusieurs variables relatives aux entiteacutes collaboratives

Dans une vision dynamique du controcircle drsquoaccegraves dans un environnement collaboratif certaines va-

riables sont plus importantes que drsquoautres comme la confiance numeacuterique que le systegraveme de seacutecuriteacute

ainsi que lrsquoensemble des entiteacutes de collaborations accordent agrave un sujet donneacute

66


3252 Confiance numeacuterique

Dans un processus de controcircle drsquoaccegraves lrsquoidentiteacute drsquoun utilisateur est geacuteneacuteralement soumise en

premier lieu agrave une phase drsquoauthentification Neacuteanmoins drsquoun cocircteacute lrsquoauthentification ne peut pas as-

surer le bon usage des permissions lieacutees agrave lrsquoidentiteacute du sujet en question et drsquoun autre cocircteacute elle ne

peut pas garantir que le sujet authentifieacute aura un comportement qui ne reflegravete aucune menace de

seacutecuriteacute pour le systegraveme Cela constitue un seacuterieux souci qui srsquoaccentue lorsqursquoil srsquoagit drsquoenviron-

nement RSE ougrave lrsquoenjeu de perte drsquoinformation est de taille En effet outre lrsquoouverture des cercles

collaboratifs agrave de nouveaux acteurs (inconnus) mecircme le comportement drsquoun acteur interne est im-

preacutevisible dans le sens ougrave il ne peut ecirctre garanti et est susceptible de changer au cours du temps Par

conseacutequent il est important de consideacuterer cela dans le processus drsquoautorisation Ce challenge peut

ecirctre reacutesumeacute par la prise en compte de la confiance (trust) La confiance peut ecirctre consideacutereacutee sur la

base du comportement individuel drsquoun acteur dans le temps ou simplement drsquoune image refleacuteteacutee

par la communauteacute de laquelle est issu le sujet en question eg entreprise groupe De nombreux

travaux ont mixeacute la notion de confiance avec le controcircle drsquoaccegraves ce qui a deacuteboucheacute sur plusieurs

modegraveles de controcircle drsquoaccegraves [127 14 182 85 196 68]

Les approches existantes sous le volet de la confiance numeacuterique peuvent ecirctre consideacutereacutes sous

deux grandes cateacutegories [197] agrave savoir les politiques baseacutees sur la gestion de confiance et les sys-

tegravemes drsquoeacutevaluation de reacuteputation Dans la premiegravere cateacutegorie la confiance est statique et binaire car

elle est baseacutee uniquement sur lrsquoauthenticiteacute de lrsquoidentiteacute de lrsquoacteur et ce agrave travers un jeton drsquoauthen-

tification 40 comme crsquoest le cas dans RT [126] PolicyMaker [36] KeyNote [34] [35] [125] Quant agrave

la cateacutegorie baseacutee sur la reacuteputation elle est davantage dynamique car lrsquoeacutevaluation de la confiance est

baseacutee sur lrsquohistorique des interactions des utilisateurs En drsquoautres termes lrsquoeacutevolution de la confiance

est mesureacutee gracircce agrave une eacutevaluation du comportement de lrsquoacteur sur la base de son historique de

collaboration [51 189 168 56] Nous consideacuterons que la deuxiegraveme cateacutegorie (ie la reacuteputation) est

plus adeacutequate pour notre contexte RSE car la reacuteputation va donner un aspect dynamique agrave notre

meacutecanisme de controcircle drsquoaccegraves

Geacuteneacuteralement la reacuteputation est un jugement porteacute par autrui sur la qualiteacute drsquoune personne [103]De nombreux travaux qui rentrent dans le cadre de la cateacutegorie de la reacuteputation sont baseacutes sur des

approches probabilistes En effet ces travaux se basent sur le Beta model [107 149 46 183 47] Le

modegravele Beta utilise un paramegravetre (Θ) pour preacutedire le comportement bon ou mauvais (1minusΘ) drsquoun

acteur dans le futur et ce par rapport agrave un comportement attendu Dans [174] les auteurs essayent

drsquoapprocher la valeur du paramegravetre inconnu (Θ) en se basant sur lrsquohistorique des interactions de

lrsquoacteur Les auteurs dans [165] proposent un modegravele de controcircle drsquoaccegraves sous forme drsquoextension du

modegravele ABAC Ce modegravele met lrsquoaccent sur lrsquoaspect de confiance et de confidentialiteacute pour lrsquoadminis-

tration des autorisations dans les systegravemes collaboratifs de gestion de crise En effet la confiance

est mesureacutee sur la base de trois dimensions agrave savoir le degreacute de collaboration entre lrsquoorganisation

et le demandeur drsquoaccegraves les recommandations et la reacuteputation Cette derniegravere repose sur lrsquoanalyse

40 Par exemple numeacutero de carte bancaire certification de compeacutetence une preuve drsquoappartenance agrave une organisationdonneacutee etc

67


de lrsquohistorique drsquoaccegraves de lrsquoacteur pour augmenter ou diminuer sa reacuteputation agrave travers le temps en

fonction de paramegravetres subjectifs deacutefinis par lrsquoentreprise Cela signifie que la reacuteputation drsquoun mecircme

acteur nrsquoeacutevolue pas de la mecircme maniegravere drsquoune entreprise agrave une autre

Selon notre point de vue il est plus inteacuteressant drsquoexploiter lrsquoeacutevaluation de la confiance numeacuterique

refleacuteteacutee par la reacuteputation baseacutee sur lrsquohistorique comportemental drsquoune maniegravere plus ferme dans le

controcircle drsquoaccegraves Plus preacuteciseacutement la confiance doit ecirctre une contrainte essentielle dans les politiques

de controcircle drsquoaccegraves Cependant la confiance ne doit pas ecirctre statique et doit pouvoir eacutevoluer drsquoune

maniegravere dynamique agrave travers le temps et ce sur la base de lrsquoensemble des actions passeacutees (ie lrsquohis-

torique) reacutealiseacutees par le sujet en question Dans cette optique il est possible que drsquoautres paramegravetres

entrent en consideacuteration pour la construction de politiques baseacutees sur la confiance numeacuterique Par

conseacutequent nous nous sommes tourneacutes vers lrsquoeacutetude drsquoune gestion plus geacuteneacuteraliseacutee de la confiance

avec drsquoautres contraintes contextuelles Notre eacutetude srsquoest ainsi focaliseacutee sur les meacutecanismes de gestion

du risque car ces derniers repreacutesentent (par deacutefinition) les menaces de requecirctes de demande drsquoaccegraves

et leurs impacts sur les enjeux preacutesents dans le contexte collaboratif

3253 Gestion du risque

Aujourdrsquohui la deacutependance des entreprises aux technologies IT est devenue tregraves importante [159]Cette deacutependance signifie que les entreprises doivent ecirctre en mesure drsquoidentifier et de faire face

aux nouvelles vulneacuterabiliteacutes et menaces auxquelles leurs systegravemes sont exposeacutes et ce dans le but

drsquoadapter leurs systegravemes aux eacutevolutions des environnements et des besoins organisationnels qui srsquoen

suivent

La gestion du risque pour une organisation est un processus complet composeacute de quatre facettes

bull frame risk deacutefinir le contexte (ie environnement) du risque afin drsquoadopter une strateacutegie

drsquoeacutevaluation de reacuteponse et de supervision du risque

bull assess risk lrsquoeacutevaluation du risque agrave travers lrsquoidentification des menaces vis-agrave-vis des en-

treprises les vulneacuterabiliteacutes du contexte deacutefini et les eacuteventuels susceptibles dommages ie

impact sur la confidentialiteacute des ressource ducirc aux menaces et aux vulneacuterabiliteacutes

bull respond to risk reacuteaction de lrsquoentreprise baseacutee sur les reacutesultats de lrsquoeacutevaluation du risque

bull monitor risk supervision fondeacutee sur le maintien de connaissances sur les informations de

seacutecuriteacute les vulneacuterabiliteacutes et les menaces afin drsquoappuyer les deacutecisions baseacutees sur le risque

Dans le cadre de cette thegravese le contexte dans lequel nous eacutevaluons le risque (ie frame risk) est

le reacuteseau social drsquoentreprise Par ailleurs les reacuteactions des entreprises (ie respond to risk) vis-agrave-vis

des reacutesultats de lrsquoeacutevaluation du risque vont porter sur les deacutecisions du controcircle drsquoaccegraves en suspendant

lrsquoaccegraves aux acteurs concerneacutes Quant au monitoring du risque nous omettons cette tacircche car elle se

base en geacuteneacuteral sur les reacutesultats drsquoexpeacuterimentations reacuteelles dont nous disposons pas agrave ce stade Enfin

nous nous focalisons dans nos travaux sur le risque sur lrsquoeacutevaluation du risque (ie risk assessement)

en identifiant les paramegravetres pertinents relatifs agrave notre contexte RSE pour lrsquoeacutevaluation du risque

Le processus drsquoeacutevaluation du risque requiert lrsquoeacutetude des aspects suivants

bull outils techniques et meacutethodes drsquoeacutevaluation

68


bull les hypothegraveses relatives agrave lrsquoeacutevaluation du risque

bull les contraintes susceptibles drsquoinfluencer lrsquoeacutevaluation du risque

bull la maniegravere dont les informations sur le risque sont collecteacutees traiteacutees et communiqueacutees agrave

travers les entreprises

bull la maniegravere dont sont mesureacutees les menaces (sources et meacutethodes)

En geacuteneacuteral le risque est deacutefini par la probabiliteacute qursquoun eacuteveacutenement se produise avec ses conseacute-

quences sur le systegraveme [151] Dans le contexte de la seacutecuriteacute informatique dans les entreprises un

eacuteveacutenement est communeacutement consideacutereacute comme une menace qui se base sur une ou plusieurs vulneacute-

rabiliteacutes de lrsquoenvironnement informatique afin drsquooccasionner un impact neacutegatif eg la destruction

lrsquoalteacuteration et le vol des informations de lrsquoentreprise [140] Par exemple un attaquant vole des infor-

mations sensibles (menace) agrave travers une interface compromise (vulneacuterabiliteacute) ce qui peut infliger

des pertes agrave lrsquoentreprise (impact) [87] Dans ce sens lrsquoeacutevaluation du risque se reacutesume a la formule

suivante ([6] [151]) risque = vulneacuterabiliteacute times menace times impactlArrrArr f (V M I)

Le risque et la confiance sont les deux aspects sur lesquels nous nous sommes baseacutes dans notre

eacutetude qui vise agrave donner un aspect dynamique au meacutecanisme de controcircle drsquoaccegraves destineacute au RSE

Dans ce qui suit nous faisons le point sur les travaux de recherche eacutetablis dans cadre du risque et de

la confiance numeacuterique

Revue de la litteacuterature sur le risque et le controcircle drsquoaccegraves

Le travail reacutealiseacute dans [112] propose un framework de controcircle drsquoaccegraves baseacute sur le modegravele ABAC

et lrsquoeacutevaluation du risque Le modegravele est principalement fondeacute sur des besoins opeacuterationnels des

facteurs de situations 41 des politiques adaptables de controcircle drsquoaccegraves ainsi que des heuristiques

baseacutees sur les vulneacuterabiliteacutes identifieacutees dans les cas pratiques anteacuterieurs Ces aspects sont formaliseacutes

sur la base drsquoextensions UCON (usage control) [121 156] Cependant cette proposition ne fournit

pas des deacutetails sur les meacutethodes drsquoeacutevaluation ni drsquoimplantation de chacun de ces paramegravetres Par

ailleurs la deacutefinition du risque nrsquoest baseacutee sur aucun standard

Dans [154] les auteurs proposent un systegraveme de controcircle drsquoaccegraves qui repose sur une approche

drsquoeacutevaluation de risque Le systegraveme calcule la valeur du risque (entre 0 et 1) pour chaque requecircte

entrante drsquoun sujet sur un objet Ce systegraveme ne permet pas drsquoempecirccher une tentative drsquoaccegraves qui

reflegravete une valeur eacuteleveacutee de risque il permet plutocirct drsquoattribuer un accegraves temporaire avec des post-

obligations que le sujet doit accomplir apregraves lrsquoautorisation accegraves En effet lrsquoestimation du risque est

baseacutee sur un systegraveme agrave infeacuterence floue avec le niveau drsquointeacutegriteacute du sujet et de sensitiviteacute drsquoobjet

Cela signifie que la vulneacuterabiliteacute du contexte nrsquoest pas prise en consideacuteration

Dans Dimmock [47] on considegravere que la confiance est eacutetroitement lieacutee au risque Les auteurs

soulignent lrsquoimportance de la consideacuteration de ces deux aspects dans les prises de deacutecisions drsquoauto-

risation Ils proposent une solution baseacutee sur une fonction de densiteacute de probabiliteacute et la confiance

pour estimer le niveau du risque de chaque interaction Ainsi lrsquoaccegraves est autoriseacute lorsque le niveau

du risque est assez bas ou la confiance est assez eacuteleveacutee La confiance peut dans ce cas ecirctre consi-

41 ie conditions environnementales externes sous lesquelles sont baseacutees les deacutecisions de controcircle drsquoaccegraves

69


deacutereacutee comme la menace Cependant pour srsquoadapter aux proprieacuteteacutes du RSE tout en respectant le

standard de deacutefinition du risque il est eacutegalement important de consideacuterer la vulneacuterabiliteacute et lrsquoimpact

Par ailleurs dans [67] est proposeacutee une approche drsquoeacutevaluation du risque baseacutee sur la theacuteorie de la

deacutecision dans lrsquoincertain Les auteurs combinent les probabiliteacutes de confiance avec les reacutesultats pour

mettre en place un systegraveme de deacutetection de Spam

Dans cette mecircme optique qui lie la confiance au risque les auteurs dans [178] proposent un

systegraveme de controcircle drsquoaccegraves baseacute sur une eacutevaluation dynamique du risque Le systegraveme proposeacute est une

ameacutelioration (extention) du modegravele de controcircle drsquoaccegraves multi-niveaux (MAC Bell-LaPadula [25])ougrave le niveau drsquointeacutegriteacute (confiance) de lrsquoacteur et la sensibiliteacute (impact) de la ressource jouent un

rocircle central Ainsi les auteurs proposent une meacutethode drsquoeacutevaluation de la confiance et du risque en

consideacuterant que la confiance est lrsquoeffet opposeacute du risque En effet baseacutees sur lrsquohistorique drsquointeraction

local du sujet et des recommandations externes les meacutethodes drsquoeacutevaluation de la confiance et du

risque eacutevaluent respectivement le pourcentage des bonnes et mauvaises interactions par rapport au

reste en les pondeacuterant avec lrsquoeacutevolution de la confiance du sujet agrave travers le temps Les deacutecisions sont

par la suite prises sur la base de la comparaison directe de la confiance et du risque si la confiance est

supeacuterieure au risque le sujet sera autoriseacute sinon sa requecircte sera rejeteacutee Les auteurs proposent dans

le mecircme travail une deuxiegraveme meacutethode qui se focalise plus lrsquohistorique drsquointeractions du sujet en

donnant plus drsquoimportance aux interactions les plus reacutecentes par rapport aux anciennes et ce gracircce

agrave la meacutethode Exponentially Weighted Moving Average (EWMA) [59] Le principal souci avec ce travail

dans le cadre drsquoun RSE reacuteside dans la formule drsquoeacutevaluation de la confiance et du risque Cela est ducirc agrave

la nature sensible des ressources et lrsquoouverture laxiste de lrsquoenvironnement social En effet pour une

telle configuration drsquoenvironnement collaboratif nous avons besoin drsquointercepter rapidement tout

changement brusque et suspicieux de comportement et de reacuteagir tregraves rapidement pour reacuteduire la

menace Ces objectifs ne sont pas couverts par la formule proposeacutee dans [178]

Lrsquoarticle [70] traite le controcircle drsquoaccegraves pour le partage de ressources dans les feacutedeacuterations de

Clouds [118] en essayant de compenser les cas drsquoabsence de feacutedeacuteration drsquoidentiteacute [122] et ce au

moyen de lrsquoeacutevaluation du risque En effet le meacutecanisme preacutesenteacute se base sur le modegravele ABAC et une

architecture XACML Le meacutecanisme drsquoeacutevaluation du risque (inteacutegreacute au niveau PDP) srsquoactive dans le

cas ougrave le systegraveme ne trouve pas de feacutedeacuteration drsquoidentiteacute entre le domaine (cloud) du sujet demandeur

drsquoaccegraves le domaine eacutetranger ougrave est heacutebergeacutee la ressource demandeacutee Ce systegraveme vise agrave promouvoir

le passage agrave lrsquoeacutechelle et traiter des requecirctes particuliegraveres deacutependant fortement du contexte

Cependant lrsquoeacutevaluation du risque se fait au niveau de chaque domaine drsquoune maniegravere indeacutepen-

dante et eacuteventuellement diffeacuterente des autres domaines Cela ne srsquoadapte pas vraiment au contexte

du RSE car afin de ne pas brider la collaboration nous avons besoin drsquoun meacutecanisme geacuteneacuteraliseacute

drsquoeacutevaluation du risque qui respecte lrsquoautonomie de chaque domaine (entreprise) en matiegravere drsquoadmi-

nistration (ie le parameacutetrage) du risque

Lrsquoefficaciteacute drsquoun meacutecanisme de controcircle drsquoaccegraves est relative au contexte de son application Ainsi

bien que nous soutenons lrsquoimportance du controcircle drsquoaccegraves dynamique nous nrsquoadheacuterons pas agrave lrsquoideacutee de

remplacer un meacutecanisme de controcircle drsquoaccegraves ferme et compact par un meacutecanisme de risque baseacute sur

des meacutetriques de probabiliteacute ie estimation approximative de la menace et son impact sur le systegraveme

70


De plus les deacutecisions du risque et de confiance sont censeacutees ameacuteliorer et soutenir les deacutecisions

drsquoautorisation mais elles ne doivent en aucun cas atteacutenuer lrsquoeffet des politiques de controcircle drsquoaccegraves

Par conseacutequent le meacutecanisme drsquoeacutevaluation du risque et de confiance doit ecirctre leacuteger dans le sens ougrave

son inteacutegration agrave un meacutecanisme de controcircle drsquoaccegraves doit ecirctre facilement parameacutetrable voire mecircme

deacutesactivable Par conseacutequent il doit se situer agrave un niveau parallegravele et indeacutependant de celui des

politiques initiales de controcircle drsquoaccegraves et comme un meacutecanisme compleacutementaire de deacutecision

Nous avons eacutetudieacute jusqursquoagrave preacutesent les principaux travaux concernant les modegraveles classiques (ie

MAC DAC et X-RBAC) le modegravele ABAC ainsi que le controcircle drsquoaccegraves dynamique qui se base sur le

contexte en incluant la confiance numeacuterique et la gestion du risque Dans ce qui suit nous allons

eacutetudier un aspect particulier du controcircle drsquoaccegraves lieacute aux environnements collaboratifs en geacuteneacuteral et

aux RSEs en particulier agrave savoir la deacuteleacutegation La deacuteleacutegation consiste principalement en un transfert

temporaire de droits drsquoaccegraves agrave des ressources

326 Deacuteleacutegation

La deacuteleacutegation est un meacutecanisme de transfert de droits connexe au controcircle drsquoaccegraves Geacuteneacuterale-

ment une deacuteleacutegation peut se produire selon deux formes [58] une deacuteleacutegation via un administrateur

et une deacuteleacutegation via un utilisateur La diffeacuterence est relative aux droits posseacutedeacutes vis-agrave-vis des droits

deacuteleacutegueacutes Un utilisateur est obligeacute drsquoavoir le privilegravege pour pouvoir le deacuteleacuteguer contrainte qui ne

concerne pas lrsquoadministrateur Nous nous focalisons dans cette thegravese sur la deacuteleacutegation via lrsquoutilisa-

teur Par ailleurs une deacuteleacutegation peut ecirctre entre humains ou entre machines (eg agent logiciel

service web etc) ou les deux [24]

Il existe plusieurs deacutefinitions dans la litteacuterature du concept de deacuteleacutegation Zhang et al [205]voient la deacuteleacutegation comme suit ldquolrsquoobjectif de la deacuteleacutegation est drsquoavoir le travail fait en lrsquoenvoyant

agrave quelqursquoun drsquoautre par exemple un subordonneacuterdquo McNamara et al[141] considegraverent la deacuteleacutegation

comme ldquola marque drsquoune bonne supervisionrdquo Dans le cadre du controcircle drsquoaccegraves le besoin de deacuteleacutega-

tion se pose quand un utilisateur a besoin drsquoagir pour le compte drsquoun autre utilisateur pour acceacuteder

agrave ses ressources autoriseacutees Cela pourrait ecirctre pour un temps limiteacute par exemple des vacances ou

bien pour un remplacement ie toujours agir en cas drsquoabsence de lrsquoacteur principal Ainsi une deacuteleacute-

gation permet agrave un deacuteleacutegataire drsquoacqueacuterir des privilegraveges lui permettant de reacuteagir dans des situations

ou drsquoacceacuteder agrave des informations sans besoin de se reacutefeacuterer agrave son deacuteleacutegant [205] Cependant dans

une deacuteleacutegation il existe quelques speacutecificiteacutes notamment dans les meacutecanismes agrave base de rocircles agrave

savoir [75]

bull une deacuteleacutegation peut ecirctre totale ou partielle Dans une deacuteleacutegation totale un utilisateur deacute-

legravegue toutes ses permissions relatives agrave son rocircle par exemple Tandis qursquoavec une deacuteleacutegation

partielle lrsquoutilisateur peut deacuteleacuteguer une partie de ses privilegraveges

bull deacuteleacutegation transitive multi-niveaux Cette proprieacuteteacute permet un utilisateur de redeacuteleacuteguer les

droits qui lui sont deacuteleacutegueacutes tout en respectant une certaine profondeur (preacutedeacutefinie) de redeacute-

leacutegation

bull une deacuteleacutegation peut ecirctre du type ldquograntrdquo ou ldquotransfertrdquo La diffeacuterence est que dans une deacute-

71


leacutegation grant les droits drsquoaccegraves seront partageacutes entre les deux parties de deacuteleacutegation (ie

deacuteleacutegataire deacuteleacutegant) dans le sens ougrave le deacuteleacutegant continue de pouvoir exploiter ses droits

drsquoaccegraves deacuteleacutegueacutes En revanche dans le cas drsquoune deacuteleacutegation transfert le deacuteleacutegant nrsquoa plus le

droit drsquoaccomplir les tacircches relatives aux droits deacuteleacutegueacutes

bull dans le cas drsquoune deacuteleacutegation de droits relieacutes agrave un rocircle faisant partie drsquoune hieacuterarchie le deacuteleacute-

gataire se voit procurer tous les privilegraveges des rocircles subordonneacutes du rocircle deacuteleacutegueacute

Par ailleurs une deacuteleacutegation efficace requiert certaines exigences agrave savoir la reacutevocation et les

conditions La reacutevocation est un aspect tregraves important qui doit accompagner toute deacuteleacutegation En

effet une deacuteleacutegation agrave un moment donneacute doit pouvoir ecirctre suspendue ie validiteacute temporaire des

droits Une proceacutedure de reacutevocation consiste agrave enlever les privilegraveges deacuteleacutegueacutes ou de revenir agrave lrsquoeacutetat

drsquoavant la deacuteleacutegation Quant aux conditions elles concernent les deacuteleacutegations et les reacutevocations Une

condition speacutecifie des restrictions sous forme de contraintes Ces contraintes doivent ecirctre satisfaites

au moment de la validation de la deacuteleacutegation respectivement la reacutevocation Dans ce qui suit nous

allons preacutesenter quelques travaux portant sur la deacuteleacutegation dans les environnements collaboratifs

Deacuteleacutegation et travaux connexes

Beaucoup de travaux se sont inteacuteresseacutes au concept de la deacuteleacutegation La plupart des travaux qui

ont contribueacute agrave lrsquoeacutemergence du concept tels que [86 11 82] se sont plus au moins focaliseacutes sur la

deacuteleacutegation homme-machine et machine-machine [24] Vu que dans la pratique RBAC a eacuteteacute le for-

malisme dominant dans le domaine du controcircle drsquoaccegraves pendant une bonne eacutepoque [101] beaucoup

de travaux concernant la deacuteleacutegation se sont tourneacutes vers le formalisme agrave base de rocircle

Les modegraveles agrave base de rocircles les plus populaires dans le domaine de deacuteleacutegation sont RBDM0 (Role-

Based Delegation Model 0) et ses variantes RBDM1 et RDM2000 [24 23 22 205] Ces modegraveles

couvrent plusieurs aspects relatifs agrave la deacuteleacutegation speacutecialement les hieacuterarchies de rocircles ainsi que les

deacuteleacutegations multi-niveaux Cependant la deacuteleacutegation partielle nrsquoest pas supporteacutee dans ces modegraveles

dans le sens ougrave le rocircle (et les permissions qui en deacutecoulent) est la plus petite uniteacute dans une deacute-

leacutegation Dans notre contexte social et heacuteteacuterogegravene les deacuteleacutegations partielles sont tregraves importantes

car le mecircme rocircle dans deux domaines (entreprises) diffeacuterents peut ne pas donner droits aux mecircmes

privilegraveges

Par ailleurs de nombreuses extensions RBAC orienteacutees vers la gestion du contexte traitent lrsquoas-

pect de deacuteleacutegation [105] est une extension du modegravele GTRBAC qui supporte les deacuteleacutegations dans

des hieacuterarchies hybrides de rocircles ainsi que diffeacuterents types de deacuteleacutegation comme les deacuteleacutegations par-

tielles Une hieacuterarchie hybride permet de combiner lrsquoaspect heacuteritage et activation de rocircle dans une

hieacuterarchie de rocircles [161] permet de prendre en consideacuteration plus de types de deacuteleacutegation et ce au-

tour des rocircles et des permissions avec des contraintes temporelles etou geacuteographique [128] traite

eacutegalement la deacuteleacutegation agrave lrsquoeacutegard des hieacuterarchies de rocircle

Un des modegraveles de deacuteleacutegation agrave base de rocircles les plus reacutecents est connu sous le nom GemR-

BAC [75] GemRBAC se preacutesente comme le framework qui englobe les extensions les plus importantes

du modegravele RBAC Fondeacute sur une repreacutesentation UML GemRBAC est implanteacute en Object Constraint

72


Language (OCL) Plus preacuteciseacutement les composants des politiques RBAC comme le rocircle la deacuteleacutega-

tion les permissions les sessions sont repreacutesenteacutes par des classes constitueacutees drsquoattributs neacutecessaires

permettant de couvrir tous les aspects de controcircle drsquoaccegraves agrave base de rocircle comme la seacuteparation des

devoirs les hieacuterarchies des rocircles les preacutepost conditions En fait gracircce aux attributs constituant les

classes du modegravele ce modegravele peut ecirctre vu comme une version ABAC de RBAC avec une implantation

qui tire profit des avantages drsquoexpressiviteacute du standard OCL Sur le plan technique les auteurs de

GemRBAC le preacutesentent comme eacutetant un modegravele geacuteneacuterique capable de srsquoadapter agrave nrsquoimporte quelle

entreprise et facilement configurable par les administrateurs en se basant sur les Checkers OCL dis-

ponibles Cela signifie que le langage neacutecessite une certaine expeacuterience dans le domaine du controcircle

drsquoaccegraves pour lrsquoadministration des politiques drsquoaccegraves aux ressources partageacutees contrainte assez dif-

ficile agrave satisfaire dans le cadre des reacuteseaux sociaux et des approches user-centric de deacutefinition de

regravegles

XACML permet eacutegalement de modeacuteliser des regravegles de deacuteleacutegation gracircce agrave la flexibiliteacute et la richesse

des attributs Dans [191] les auteurs ont deacuteveloppeacute la langage de politique BelLog pour exprimer

les deacuteleacutegations ainsi que la composition de politiques avec la capaciteacute de raisonnement Dans [176]est proposeacute un modegravele de politique drsquoadministration et de deacuteleacutegation fondeacute sur XACML et le ser-

veur Delegent [78] Ce modegravele est capable drsquoexprimer les chaicircnes de deacuteleacutegation avec eacutegalement des

contraintes sur les deacuteleacutegations en utilisant le langage XACML

XACML 30 introduit le concept de deacuteleacutegation dynamique En effet une deacuteleacutegation dynamique

permet agrave certains utilisateurs de creacuteer des politiques de dureacutee limiteacutee afin de deacuteleacuteguer certaines

capaciteacutes agrave drsquoautres utilisateurs [155 73] Contrairement agrave XACML 20 la notion de circonstance dans

lrsquoadministration des politiques (ie le controcircle de la creacuteation et la modification des politiques) nrsquoeacutetait

pas abordeacutee Par exemple dans XACML 30 un utilisateur peut creacuteer une regravegle permettant agrave un autre

utilisateur de faire des tacircches pour son compte tant qursquoil sera en vacances alors que dans XACML 20

un utilisateur pouvait juste attribuer ses droits agrave un autre sujet Dans [64] les auteurs proposent un

framework pour lrsquoameacutelioration du profil de deacuteleacutegation XACML gracircce aux ontologies Les opeacuterations

de deacuteleacutegation ainsi que de veacuterification et de reacutevocation peuvent ecirctre effectueacutees selon les entiteacutes

impliqueacutees dans la deacuteleacutegation et le flux geacuteneacutereacute par lrsquoinstanciation des classes de lrsquoontologie et de

leurs interrelations [64] Le systegraveme est complegravetement automatiseacute car les opeacuterations de deacuteleacutegation

sont reacutealiseacutees gracircce agrave un algorithme qui ne neacutecessite aucune intervention humaine

Dans le mecircme cadre des ontologies les auteurs dans [109] preacutesentent un framework de deacuteleacute-

gation pour systegravemes multiagents Ce modegravele utilise une ontologie baseacutee sur une base de connais-

sances et des politiques eacutecrites en Prolog La deacuteleacutegation entre agents dans lrsquoenvironnement multi-

organisationnel se fait en utilisant de la confiance mutuelle entre agents afin de former les chaicircnes

de deacuteleacutegation Cependant lrsquoeacutevaluation de la confiance nrsquoest pas deacutetailleacutee et dans ce travail elle nrsquoa

pas eacuteteacute inteacutegreacutee dans lrsquoeacutevaluation de la regravegle de la deacuteleacutegation Bien que des eacutetiquettes pour deacutesigner

si un objet peut ecirctre redeacuteleacutegueacute soient utiliseacutees ainsi que des agents de seacutecuriteacute pour controcircler les

agents qui srsquoentre deacutelegraveguent les ressources le problegraveme avec les chaicircnes reste un peu similaire au

controcircle drsquoaccegraves discreacutetionnaire dans le sens ougrave cela peut amener le systegraveme dans un eacutetat drsquoinseacute-

curiteacute agrave cause de fuites drsquoinformations par exemple dans le cas ougrave un des agents de seacutecuriteacute est

73


compromis

327 Vers une implantation formelle de XACML

Comme nous venons de le souligner dans la section cf 3242 de nombreux travaux ont exploreacute

lrsquoideacutee de donner un formalisme logique au langage XACML Pour la mise en oeuvre de notre modegravele

de controcircle drsquoaccegraves dynamique nous avons fait le choix drsquoutiliser la logique temporelle de premier

ordre Event-Calculus [116 148] que nous allons maintenant preacutesenter

Event-calculus

Event-calculus est un langage formel pour repreacutesenter et raisonner sur des systegravemes dynamiques [21]Le formalisme logique de premier ordre Event-calculus inclut une arithmeacutetique pour la gestion du

temps drsquooccurrence drsquoeacuteveacutenements Lrsquooccurrence drsquoun eacuteveacutenement (eacutegalement appeleacute action ldquoA rdquo) pro-

voque un changement de lrsquoeacutetat drsquoun (ou plusieurs) attribut(s) de lrsquoenvironnement Le terme ldquoFluentrdquo

ldquoF rdquo est utiliseacute pour repreacutesenter les eacutetats du systegraveme Il srsquoagit drsquoune proprieacuteteacute binaire du contexte qui

agrave travers le temps ldquoT rdquo prend les valeurs ldquovrairdquo ou ldquofauxrdquo

Event-calculus utilise des preacutedicats eacutecrits en clauses de Horn [52] pour la gestion des eacuteveacutenements

et leurs fluents Les principaux preacutedicats drsquoEvent-calculus sont mdash Ini t iates(e f t ) agrave partir du lrsquoinstant t + 1 lrsquoeacutetat du fluent f prend la valeur vraie si lrsquoeacuteveacutenement e

se produit agrave lrsquoinstant t

mdash Ter minates(e f t ) apregraves lrsquooccurrence agrave lrsquoinstant t de lrsquoeacuteveacutenement e lrsquoeacutetat du fluent f est drsquoores

et deacutejagrave changeacute agrave faux

mdash Happens(e t ) forcer etou indiquer lrsquooccurrence de lrsquoeacuteveacutenement e agrave lrsquoinstant t

mdash HoldsAt ( f t ) veacuterifier etou indiquer lrsquoeacutetat (vraifaux) du fluent f agrave lrsquoinstant t

mdash Ini t iall yTr ue( f ) lrsquoeacutetat du fluent f est initialement (lrsquoinstant 0) faux

mdash Ini t iall y Fal se( f ) lrsquoeacutetat du fluent f est initialement (lrsquoinstant 0) vraimdash Clipped(t1 f t2) lrsquoeacutetat du fluent f change de vrai agrave faux durant lrsquointervalle du temps [t1 t2]mdash Declipped(t1 f t2) lrsquoeacutetat du fluent f change de faux agrave vrai durant lrsquointervalle du temps [t1 t2]mdash Tr a ject or y( f1 t1 f2 t2) [179] si le fluent f1 est initialiseacute agrave lrsquoinstant t1 alors le fluent f2 devient

vrai agrave lrsquoinstant t1 + t2

Event-Calculus supporte plusieurs modes de raisonnement agrave savoir deacuteductif inductif et abduc-

tif [166] Le raisonnement deacuteductif utilise la description du comportement du systegraveme avec lrsquohisto-

rique des eacuteveacutenements qui se produisent dans le systegraveme afin de deacuteriver les fluents qui sont initialiseacutes

(vrai) agrave un instant donneacute Lrsquoinduction permet de deacuteriver la description du comportement du systegraveme

agrave partir drsquoun eacuteveacutenement historique donneacute et des informations sur les eacutetats de fluents qui sont valideacutes

(vrai) agrave des instants diffeacuterents [21] Dans notre meacutecanisme de controcircle drsquoaccegraves nous nous sommes

baseacutes sur le mode de raisonnement abductif 42 Par deacutefinition le raisonnement abductif cherche agrave

trouver les causes des situations Lrsquoutilisation du raisonnement abductif dans Event-calculus consiste

drsquoabord agrave speacutecifier en amont lrsquoeacutetat initial de lrsquoenvironnement du systegraveme avec lrsquoeacuteventuel but(s) at-

42 Discuteacute par Charniak and McDermott (1985chap8) Shanahan (1989 1997b chap17 2000a) Denecker Missiaenet Bruynooghe (1992) et Hobbs Stickel Appelt et Martin (1993) [147]

74


tendu(s) Ensuite suivant le raisonnement abductif on veacuterifie si le but est satisfait agrave un instant preacutecis

et ce agrave travers un scheacutema baseacute sur lrsquooccurrence drsquoune suite drsquoeacuteveacutenements En drsquoautres termes eacutetant

donneacute un eacutetat initial de lrsquoenvironnement le raisonneur deacutetermine la seacutequence drsquoeacuteveacutenements dont

lrsquooccurrence est neacutecessaire pour atteindre agrave un instant preacutecis un objectif initialement preacutedeacutefini Cela

correspond parfaitement agrave notre vision de politiques de seacutecuriteacute et leurs scheacutemas drsquoautorisation En

effet nous consideacuterons les politiques comme eacutetant une prescription dans laquelle un objectif de seacute-

curiteacute est veacuterifieacute agrave travers le comportement du systegraveme Ce dernier est agrave tout instant dans un eacutetat

donneacute qui est susceptible de changer suite agrave lrsquooccurrence de certains eacuteveacutenements eacuteventuellement

controcircleacutes

Pourquoi Event-Calculus

Nous croyons vigoureusement qursquoun formalisme logique est plus approprieacute pour lrsquoimplantation

des politiques de seacutecuriteacute notamment dans le contexte des reacuteseaux sociaux ougrave les politiques sont deacute-

finies par des utilisateurs majoritairement humains En effet le formalisme logique offre au systegraveme

une ouverture au raisonnement et agrave lrsquoanalyse de satisfaction des formules ce qui permet de veacuteri-

fier la consistance des politiques deacutefinies Cette veacuterification peut bien eacutevidemment ecirctre automatique

lorsque le formalisme est doteacute drsquoun outil de raisonnement agrave lrsquoimage des solveurs SAT Event-Calculus

dispose drsquoun tel outil de raisonnement appeleacute Dec-reasoner Dec-reasoner est conccedilu pour raisonner

sur la satisfaction des preacutedicats Event-Calculus Ainsi les politiques deviennent plus preacutecises et ex-

pressives avec une repreacutesentation flexible et non ambigueuml En outre la veacuterification des conflits entre

politiques ainsi que leurs validations (en vue de la prise de deacutecision) devient facile et pratique

Event-Calculus a eacuteteacute initialement utiliseacute par Bandara et al dans [21] pour la modeacutelisation du

controcircle drsquoaccegraves Pour nous la principale motivation derriegravere lrsquoutilisation de ce formalisme de lo-

gique de premier ordre est la prise en charge de lrsquoaspect temporel ce qui nous a permis de rendre

notre modegravele de deacutecision dynamique Plus preacuteciseacutement les deacutecisions des politiques sont eacutevalueacutees de

maniegravere continue car lrsquoeffet (permitdeny) de chaque instance de politique constitue un eacutetat drsquoun

lrsquoobjet (la politique) dans lrsquoenvironnement qui peut changer agrave tout moment suite agrave lrsquooccurrence de

certains eacuteveacutenements Par conseacutequent lrsquoaccegraves drsquoun acteur autoriseacute par la politique initiale peut ecirctre

suspendu agrave tout moment En outre lrsquoaspect temporel nous a permis de geacuterer les permissions tem-

poraires dites aussi deacuteleacutegation et ce drsquoune maniegravere auto-reacutevocable En effet Event-Calculus inclut

une arithmeacutetique de gestion du temps ainsi que des preacutedicats (agrave lrsquoimage de Trajectory) qui permet

de parameacutetrer le changement drsquoun eacutetat donneacute de lrsquoenvironnement vers un nouvel eacutetat et ce apregraves

un intervalle de temps preacutedeacutefini Gracircce agrave cela les permissions temporaires ne constituent plus un

problegraveme pour la formalisation logique

DEC-reasoner

Il existe trois outils de raisonnement pour Event-Calculus 43 agrave savoir Event calculus answer set

programming Discrete Event Calculus Reasoner et Discrete event calculus theorem proving Nous nous

43 http decreasonersourceforgenetcsrindexhtml

75


inteacuteressons au Discrete Event Calculus Reasoner (DEC-reasoner) 44 [146] qui est fondeacute sur des solveurs

SAT (Relsat Walksat et MiniSat) et inclut le mode de raisonnement abductif Ainsi nous nous basons

sur le DEC-Reasoner et le solveur Relsat pour la veacuterification et la validation de politiques de seacutecuriteacute

de notre modegravele de controcircle drsquoaccegraves DEC-Reasoner supporte aussi

mdash the commonsense law of inertia le principe de loi de lrsquoinertie dans lequel un eacutetat du systegraveme

persiste agrave travers le temps tant qursquoil y a pas drsquoeacuteveacutenement qui permet de lrsquoarrecircter et de mettre

le systegraveme dans un autre eacutetat appartenant agrave un ensemble limiteacute de situations ie le problegraveme

du cadre

mdash des contraintes sur les changements drsquoeacutetat (causeacutes par lrsquooccurrence drsquoeacuteveacutenement) de lrsquoenvi-

ronnement

mdash release from the commonsense law of inertia libeacuteration du systegraveme drsquoun eacutetat drsquoinertie initial

mdash effets et eacuteveacutenements indirects un eacutetat peut conduire agrave drsquoautre(s) eacutetat(s) ou le deacuteclenchement

drsquoun nouvel eacuteveacutenement peut ecirctre provoqueacute par drsquoautre(s) eacuteveacutenement(s) etou eacutetat(s)

mdash eacuteveacutenements non deacuteterministes eacutetant donneacutees les diffeacuterentes situations susceptibles de deacute-

couler drsquoun eacuteveacutenement il y a cependant aucune garantie du reacutesultat final obtenu apregraves lrsquooc-

currence de lrsquoeacuteveacutenement en question

mdash aspect concurrentiel des eacuteveacutenements plusieurs eacuteveacutenements peuvent se produire au mecircme

moment provoquant lrsquoaccumulation ou lrsquoannulation de certains effets dans lrsquoenvironnement

Quand le raisonneur DEC-Reasoner est invoqueacute il transforme la description du domaine en un

problegraveme de satisfaisabiliteacute booleacuteenne (SAT) Gracircce aux solveurs SAT DEC-Reasoner donne une ou

plusieurs solutions sous forme de modegravele(s) Un modegravele est deacutecodeacute en fonction de la description

du domaine et afficheacute pour indiquer lrsquoeacutetat du systegraveme agrave chaque instant appartenant agrave lrsquointervalle

temporel de raisonnement et ainsi indiquer si le but a eacuteteacute satisfait (abduction) Par ailleurs DEC-

Reasoner est un outil open source ouvert aux contributions externes en vue de son ameacutelioration

Un exemple est la fonction DictHash pour lrsquoencodage SAT qui a eacuteteacute ameacutelioreacutee par Ehtesham Zahoor

dans [200 202] La fonction DictHash ameacutelioreacutee reacuteduit consideacuterablement le temps de lrsquoencodage

SAT

33 Conclusion

Dans ce chapitre nous avons introduit les concepts fondamentaux de la gestion des identiteacutes

numeacuteriques et leurs accreacuteditations Nous avons preacutesenteacute ces diffeacuterents concepts de gestion drsquoauthen-

tification et de controcircle drsquoaccegraves (autorisation et monitoring) avec un eacutetat de lrsquoart portant sur de

nombreux travaux (des standards des protocoles et des solutions) qui ont eacuteteacute eacutelaboreacutes et appliqueacutes

dans des contextes proches du nocirctre Nous avons eacutegalement discuteacute les avantages ainsi que les li-

mites que preacutesentent ces travaux vis-agrave-vis de notre contexte RSE Nous avons par ailleurs introduit

certains concepts compleacutementaires que nous avons utiliseacutes dans la conception et la mise en œuvre

de nos diffeacuterents composants (AAA) de seacutecuriteacute pour OpenPaaS RSE Dans le chapitre suivant nous

44 http decreasonersourceforgenet

76

34 Synthegravese de lrsquoeacutetat de lrsquoart

deacutetaillerons nos contributions sur la gestion de lrsquoauthentification de lrsquoautorisation et de lrsquoaudit des

eacutechanges collaboratifs au sein du RSE OpenPaaS


Dans ce chapitre nous avons preacutesenteacute un eacutetat de lrsquoart sur les diffeacuterentes parties de la probleacutema-

tique que nous avons traiteacutee (cf chapitre Probleacutematique et motivations) agrave savoir la gestion des

identiteacutes numeacuterique et leurs autorisations dans les environnements collaboratifs et distribueacutes de type

reacuteseau social drsquoentreprise (RSE)

Dans le cadre de notre eacutetude des travaux sur lrsquoauthentification nous nous sommes focaliseacutes

sur la question du mode de gestion des identiteacutes numeacuterique collaboratives dans un contexte RSE

Agrave ce propos nous avons citeacute de nombreux outils drsquoauthentification comme lrsquoauthentification forte

(Fido [77]) lrsquoauthentification unique SSO (OpenID [162] OAuth [110]) et lrsquoauthentification feacutedeacutereacutee

(SAML [90] WS-federation [57]) Apregraves lrsquoeacutetude de ces nombreux travaux nous avons souligneacute les

avantages que procurent les meacutecanismes drsquoauthentification SSO Cependant la question qui reste

ouverte par rapport agrave notre contexte heacuteteacuterogegravene RSE est relative agrave lrsquointeropeacuterabiliteacute en matiegravere de

meacutecanismes drsquoauthentification utiliseacutes par les entreprises collaboratives En effet un de nos objectifs

est drsquooffrir agrave chaque entreprise la possibiliteacute de preacuteserver son meacutecanisme drsquoauthentification dans le

cadre collaboratif ie une authentification interentreprises La difficulteacute reacuteside dans le fait que les

meacutecanismes drsquoauthentification utiliseacutes par les entreprises sont incompatibles les uns avec les autres

Concernant la partie autorisation nous nous sommes pencheacutes sur les principaux travaux portant

sur le controcircle drsquoaccegraves dans les environnements collaboratifs comme MACDAC RBAC Or-BAC

et ABAC Nous avons eacutetudieacute les avantages ainsi que les limites de ces modegraveles par rapport agrave notre

contexte RSE et nos besoins de seacutecuriteacute qui se reacutesument agrave

bull la flexibiliteacute du modegravele de regravegle drsquoautorisation

bull lrsquointeropeacuterabiliteacute en matiegravere de regravegle drsquoautorisation

bull la fluiditeacute drsquoeacutechange de ressources collaboratives

bull lrsquoautonomie de lrsquoentreprise

bull la dynamiciteacute des regravegles drsquoautorisations

bull la gestion des permissions temporaires ie deacuteleacutegations

La flexibiliteacute du modegravele drsquoautorisations reacuteside dans la possibiliteacute de rajouter des contraintes agrave

une regravegle de controcircle drsquoaccegraves deacutefinie sur la base de ce modegravele Apregraves lrsquoeacutetude des solutions existantes

nous avons constateacute que le modegravele ABAC est le plus adeacutequat pour reacutepondre agrave un tel besoin gracircce agrave

la liberteacute de deacutefinition des attributs Les attributs permettent par ailleurs drsquohomogeacuteneacuteiser les seacuteman-

tiques de deacutefinition des profils des sujets des regravegles 45 de controcircle drsquoaccegraves entre plusieurs entreprises

ie lrsquointeropeacuterabiliteacute

La fluiditeacute drsquoeacutechange de ressources est lrsquoun des besoins essentiels drsquoun environnement ubiquitaire

tel qursquoun RSE En effet nous avons constateacute que lrsquoapproche user-centric [136 88 92] pour le partage

45 composeacutees initialement de sujet objet et action

77


de ressources est tregraves inteacuteressante pour la fluiditeacute des eacutechanges collaboratifs Agrave lrsquoimage du modegravele

DAC dans un partage user-centric le partage de ressources se fait par lrsquoutilisateur Cela signifie que

mecircme lrsquoautorisation drsquoaccegraves agrave la ressource partageacutee va ecirctre deacutefinie par lrsquoutilisateur Cependant les

autorisations de partage de ressources peuvent ecirctre en contradiction avec les politiques de lrsquoentreprise

proprieacutetaire des ressources agrave partager Pour reacutepondre agrave ce besoin nous avons souligneacute la neacutecessiteacute de

pouvoir combiner deux niveaux de politiques agrave savoir les politiques de partages deacutefinies au niveau de

lrsquoutilisateur et les politiques drsquoentreprise deacutefinies au niveau de lrsquoentreprise Pour ce faire nous avons

reacutealiseacute que le langage XACML est le plus adapteacute agrave une telle modeacutelisation de politique De plus le

langage XACML est le plus utiliseacute pour lrsquoimplantation du modegravele ABAC eg les projets Cardea [123]epSOS [7] NHIN [8]

Dans un environnement riche en interactions tel qursquoun RSE les politiques entreprise ne peuvent

pas ecirctre de la mecircme freacutequence ni du mecircme niveau drsquoabstraction que celles des utilisateurs Drsquoune part

une entreprise ne peut pas deacutefinir une nouvelle regravegle pour chaque nouveau partage de ressource et

drsquoautre part une regravegle drsquoentreprise ne peut pas prendre la forme drsquoune regravegle de partage (ie sujet

objet et action) Les politiques drsquoentreprises doivent ainsi ecirctre deacutefinies avec un niveau drsquoabstraction

plus eacuteleveacute tout en eacutetant capable de controcircler chaque regravegle de partage Pour reacutepondre agrave ces besoins

nous nous sommes tourneacutes vers le controcircle drsquoaccegraves dynamique [178] pour la deacutefinition des politiques

drsquoentreprise Nous avons eacutetudieacute la gestion du risque [151] ainsi que la confiance numeacuterique [12] et

la reacuteputation [107] dans le cadre de la supervision des comportements des acteurs de collaboration

Par ailleurs le partage user-centric exige une vigilance dans la deacutefinition des politiques de par-

tage de ressources En effet un utilisateur peut deacutefinir une regravegle drsquoune politique de controcircle drsquoaccegraves

non correcte ce qui va provoquer des incoheacuterences au moment de la combinaison avec une politique

drsquoentreprise Pour reacutepondre agrave ce besoin de veacuterification de la coheacuterence des politiques nous avons eacutetu-

dieacute plusieurs solutions baseacutees sur XACML [164] Cependant nous avons constateacute que la veacuterification

baseacutee sur XACML est coucircteuse en temps et en traitement notamment lorsqursquoil srsquoagit drsquoun environ-

nement ubiquitaire tel qursquoun RSE Par conseacutequent nous nous sommes pencheacutes sur les formalismes

logiques [114 45 138] pour la veacuterification automatique de la coheacuterence des politiques de controcircle

drsquoaccegraves

Dans notre eacutetude des formalismes logiques pour la deacutefinition drsquoun modegravele de politique de controcircle

drsquoaccegraves nous avons pris en consideacuteration deux paramegravetres essentiels par rapport agrave nos objectifs de seacute-

curiteacute au sein du RSE agrave savoir le calcul drsquoeacuteveacutenements [91] ainsi que le temps Le calcul drsquoeacuteveacutenements

nous permet drsquoavoir un controcircle drsquoaccegraves dynamique baseacute sur lrsquooccurrence en temps reacuteel drsquoeacuteveacutenements

dans lrsquoenvironnement collaboratif La gestion du temps nous permet de geacuterer les autorisations tem-

poraires auto-reacutevocables (les deacuteleacutegations) [205] Dans les travaux offrant un formalisme logique au

langage XACML que nous avons eacutetudieacutes ces deux paramegravetres (les eacuteveacutenements et le temps) ne sont

pas pris en consideacuteration Par conseacutequent nous avons choisi un autre formalisme logique qui prend

en consideacuteration le calcul drsquoeacuteveacutenements et la gestion du temps pour la modeacutelisation de notre propre

modegravele de seacutecuriteacute ABAC avec une implantation XACMl Il srsquoagit de la logique du premier ordre

Event-Calculus [147] avec comme raisonneur lrsquooutil Dec-reasoner 46 pour la veacuterification automatique


78


de la coheacuterence des politiques ainsi que la prise des deacutecisions drsquoaccegraves

79

Chapitre 4

Architecture et gestion des identiteacutes

numeacuteriques

Sommaire

41 Introduction 79





43 Conclusion 91

41 Introduction

Le premier axe de recherche de cette thegravese concerne la conception drsquoune architecture de seacutecuri-

sation adapteacutee aux communauteacutes RSE En effet lrsquoideacutee drsquoune collaboration professionnelle agrave travers

une communauteacute RSE consiste agrave regrouper diverses disciplines et compeacutetences dans un cadre colla-

boratif et coopeacuteratif commun Agrave titre de rappel une communauteacute est une entiteacute logique faisant lrsquoobjet

drsquoun cercle commun regroupant plusieurs entiteacutes collaboratrices passives etou actives Quant au RSE

crsquoest le cercle qui regroupe lrsquointeacutegraliteacute de ces communauteacutes de collaboration Par conseacutequent nous

avons besoin de deacutefinir lrsquoarchitecture de collaboration dans ces environnements collaboratifs Cette

architecture va deacuteterminer la maniegravere dont seront geacutereacutees les entiteacutes collaboratives (actives et pas-

sives) au sein drsquoune communauteacute Dans la section suivante nous preacutesentons les diffeacuterents types de

collaborations utiliseacutes dans les environnements collaboratifs distribueacutes

42 Gestion et administration des identiteacutes et ressources

Notre vision du reacuteseau social social drsquoentreprise est fondeacutee sur le principe de collaboration profes-

sionnelle entre des entreprises et les personnes qursquoelles regroupent En effet une entreprise peut ecirctre

81

Chapitre 4 Architecture et gestion des identiteacutes numeacuteriques

vue comme un ensemble logique regroupant des ressources et des identiteacutes drsquoacteurs collaboratifs

Par conseacutequent pour qursquoun acteur puisse interagir (ie partager etou consommer des ressources)

avec drsquoautres acteurs au sein drsquoune communauteacute RSE il a besoin drsquoecirctre repreacutesenteacute par une entiteacute qui

permettra de reacutefeacuterencer ses informations identitaires ainsi que ses ressources destineacutees agrave la collabo-

ration

Les gestion et lrsquoadministration de la seacutecuriteacute dans une communauteacute peut ecirctre deacutefinie selon plu-

sieurs dimensions agrave savoir la gestion des ressources la gestion des politiques et la gestion des acteurs

421 Gestion des ressources

Afin de permettre agrave chaque entreprise de preacuteserver son autonomie sur la gestion des ressources

collaboratives et de promouvoir en outre le passage agrave lrsquoeacutechelle dans le processus de partage de

ressources nous avons choisi un mode de partage qui se base sur la virtualisation des ressources

Plus preacuteciseacutement les ressources physiques restent heacutebergeacutees au niveau des serveurs de lrsquoentre-

prise Avant drsquoecirctre partageacutee chaque ressource est virtualiseacutee dans la communauteacute RSE Dans ce

contexte la virtualisation consiste agrave geacuteneacuterer lien (logique) qui permet drsquoacceacuteder agrave la ressource phy-

sique au niveau du serveur de lrsquoentreprise depuis la communauteacute Les informations concernant la

virtualisation des ressources peuvent ecirctre stockeacutees au niveau drsquoun module appeleacute VGDS (Virtual Glo-

bal Directory Service) [17] Le VGDS contient des identifiants de virtualisation faisant reacutefeacuterence aux

chemins des ressources physiques heacutebergeacutees sur les serveurs de lrsquoentreprise Le VGDS sera ainsi agrave dis-

position de la communauteacute ougrave seront deacuteployeacutees les ressources en question En reacutecapitulant au sein

drsquoune communauteacute donneacutee une requecircte de demande drsquoaccegraves eacutetablie par un acteur se fait vis-agrave-vis

drsquoun identifiant de ressource virtualiseacutee Ensuite une fois les droits drsquoaccegraves veacuterifieacutes par le meacutecanisme

de controcircle drsquoaccegraves de la communauteacute lrsquoaccegraves agrave la ressource physique aura lieu au niveau du serveur

de lrsquoentreprise proprieacutetaire en question comme cela est illustreacute dans la figure 41

Rx

RxVirtualized

VGDSVirtual Global Directory

Service

communauteacute

FIGURE 41 ndash Virtualisation des ressources collaborative(VGDS)

82


422 Gestion des politiques

Drsquoun point de vue architecture une politique est consideacutereacutee comme une ressource particuliegravere

Pour la gestion de politiques (figure 42) nous avons mis en place une base commune de politiques

au niveau de chaque communauteacute RSE (ie centraliseacutee) Cette base de politiques est administreacutee

de maniegravere autonome et indeacutependante par toute entiteacute collaboratrice active agrave savoir les acteurs et

les entreprises Lrsquoadministration de la base de politiques consiste agrave ajouter modifier etou suppri-

mer des politiques (ensemble de regravegles) de controcircle drsquoaccegraves aux ressources partageacutees Lrsquoensemble

des politiques est mis en application (exeacutecution) par un meacutecanisme de controcircle drsquoaccegraves central au

niveau de la communauteacute Cette conception drsquoarchitecture a pour objectif de reacutepondre au besoin

drsquointeropeacuterabiliteacute gracircce agrave un modegravele homogegravene de politiques agrave base drsquoattributs identitaires drsquoune

entiteacute active En outre sachant que le controcircle drsquoaccegraves se fait drsquoune maniegravere centraliseacutee au niveau de

la communauteacute RSE (regroupant plusieurs entreprises) cette architecture permet de promouvoir la

fluiditeacute et lrsquoagiliteacute pour le partage des ressources

Par ailleurs afin de tirer avantage de la flexibiliteacute de la collaboration ad-Hoc (ie de courte dureacutee)

nous proposons une approche de deacutefinition de regravegles centreacutee sur lrsquoacteur collaboratif une approche

qui est coheacuterente avec la nature des reacuteseaux sociaux en geacuteneacuteral En effet lorsqursquoun acteur partage

une ressource donneacutee avec un autre acteur au sein de la mecircme communauteacute il deacutefinit une regravegle

de controcircle drsquoaccegraves Cette regravegle contient principalement quatre attributs agrave savoir la ressource le

sujet qui va la consommer lrsquoaction autoriseacutee sur la ressource et eacuteventuellement la dureacutee de mise

agrave disposition Lrsquoensemble de ces attributs est ensuite stockeacute sous forme drsquoune regravegle au niveau de la

base commune des politiques de controcircle drsquoaccegraves de la communauteacute

communauteacute

VGDSPolitiques controcircle daccegraves

Module controcircle daccegraves

Politique

RxVirtualized

Rx

Jessy

James

FIGURE 42 ndash Controcircle drsquoaccegraves dans les communauteacutes de collaboration

Enfin il est eacutegalement important de respecter la proprieacuteteacute du faible couplage dans un environ-

nement RSE pour que lrsquoentreprise garde son autonomie sur les ressources partageacutees par ses acteurs

83


(ie personnel) Par conseacutequent nous avons conccedilu notre modegravele de controcircle drsquoaccegraves de telle sorte

qursquoil soit capable de combiner plusieurs politiques issues de plusieurs entiteacutes actives (y compris les

entreprises) Ainsi la base de politiques de la communauteacute peut aussi bien ecirctre geacutereacutee par les entre-

prises que par les acteurs collaboratifs De plus amples deacutetails agrave ce propos seront preacutesenteacutes dans le

chapitre cfControcircle drsquoaccegraves

Pour reacutesumer comme le montre la figure 42 un acteur demandeur drsquoaccegraves accegravede agrave une ressource

(heacutebergeacutee sur le serveur de lrsquoentreprise proprieacutetaire) agrave travers un lien de la ressource (virtualiseacutee)

geacuteneacutereacute par le VGDS Lrsquoaccegraves est soumis agrave une proceacutedure de veacuterification de droits assureacutee par un

module de controcircle drsquoaccegraves qui se base sur les politiques deacutefinies par lrsquoentreprise proprieacutetaire et

lrsquoacteur interne (James) agrave cette entreprise qui partage la ressource en question avec le demandeur

drsquoaccegraves (Jessy)

423 Gestion des identiteacutes numeacuteriques

Vu que chaque communauteacute est indeacutependante nous proposons que tout acteur possegravede une

identiteacute propre agrave chaque communauteacute Comme le montre la figure 43 dans notre conception chaque

acteur possegravede une identiteacute initiale ldquoID internerdquo relieacutee agrave son entreprise Cet identifiant interne sera

le noyau des identifiants externes qui seront creacuteeacutes (en interne 47) en vue de leurs exportations au

niveau des communauteacutes dont fera partie lrsquoacteur en question La liaison entre un identifiant externe

et son identifiant interne au niveau de son fournisseur drsquoidentiteacute initiale est assureacutee par le biais de

la feacutedeacuteration

ID interne

Externe ID2

Externe ID1


Externe ID1

Communauteacute 1


(entreprise)

Externe ID3

Acteur


Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE


47 Au niveau de lrsquoentreprise de lrsquoacteur en question

84


4231 Feacutedeacuteration des identiteacutes numeacuteriques

Quand un acteur rejoint une communauteacute donneacutee il y creacutee son identiteacute relative agrave des attributs

demandeacutes par le gestionnaire drsquoidentiteacutes de la communauteacute en question Les valeurs des attributs

seront dans un premier temps veacuterifieacutes aupregraves du fournisseur drsquoidentiteacutes de lrsquoacteur en question dans

le cadre de la feacutedeacuteration Apregraves la validation des attributs le fournisseur drsquoidentiteacutes de lrsquoentreprise

geacutenegravere un identifiant externe le relie agrave lrsquoidentifiant interne de lrsquoacteur ensuite lrsquoenvoie agrave la com-

munauteacute en question Au niveau de la communauteacute cibleacutee lrsquoidentifiant externe est relieacute en tant que

principal ID (ie cleacute primaire) agrave lrsquoensemble des attributs fournis par lrsquoacteur et valideacutes par son four-

nisseur drsquoidentiteacutes (entreprise) Une fois le processus drsquoinscription finaliseacute lrsquoacteur sera confronteacute agrave

une proceacutedure drsquoauthentification agrave chaque fois qursquoil souhaite rejoindre la communauteacute en question

Le processus drsquoauthentification veacuterifie lrsquoauthenticiteacute des attributs qui forment lrsquoidentiteacute drsquoun ac-

teur Dans un contexte distribueacute le processus drsquoauthentification implique en geacuteneacuteral trois entiteacutes

agrave savoir lrsquoacteur le fournisseur drsquoidentiteacutes et le fournisseur de services [32] Lrsquoacteur est le sujet

qui cherche agrave prouver la leacutegitimiteacute de son identiteacute afin drsquoacceacuteder agrave une ressource proteacutegeacutee Le four-

nisseur drsquoidentiteacutes est lrsquoentiteacute qui stocke et gegravere lrsquoidentiteacute de lrsquoacteur Le fournisseur drsquoidentiteacutes peut

eacuteventuellement se porter garant de lrsquoacteur aupregraves drsquoautres fournisseurs drsquoidentiteacutes ou de service et

ce en leur communicant des certificats ou jetons drsquoauthentification Quant au fournisseur de services

il est comme un consommateur de lrsquoidentiteacute de lrsquoacteur qui est issue (directement ou indirectement)

du fournisseur drsquoidentiteacutes de ce dernier En drsquoautres mots le fournisseur de services est le portail qui

protegravege lrsquoaccegraves agrave une ressource proteacutegeacutee en veacuterifiant lrsquoauthenticiteacute de lrsquoidentiteacute du demandeur drsquoac-

cegraves Trois conceptions drsquoarchitecture sont possibles pour une interaction dans laquelle le fournisseur

drsquoidentiteacutes peut ecirctre perccedilu comme eacutetant un proxy entre lrsquoacteur et le fournisseur de services [32]

Interactive Active Client et Credential-based

Comme son nom lrsquoindique un systegraveme Interactive est baseacute sur lrsquointeraction entre le fournisseur

drsquoidentiteacutes et le fournisseur de services Tel qursquoillustreacute dans la figure 44 apregraves que le fournisseur

drsquoidentiteacutes reccediloive la demande drsquoapprobation de la part du fournisseur de services concernant la

requecircte de lrsquoacteur en question ce dernier doit (au moins une fois) srsquoauthentifier aupregraves de son

fournisseur drsquoidentiteacutes

La configuration Active Client (figure 45) est similaire agrave lrsquoInteractive agrave la diffeacuterence que la ges-

tion du transfert des messages (jetons requecirctes attributs etc) entre le fournisseur de services et

drsquoidentiteacute est centreacutee sur lrsquoacteur Cela signifie qursquoil nrsquoy a pas drsquointeraction directe entre les deux four-

nisseurs pour lrsquoauthentification de lrsquoacteur Neacuteanmoins la deacutelivrance drsquoun jeton drsquoauthentification

de la part du fournisseur drsquoidentiteacutes se fait agrave la connaissance du fournisseur service en question ce

qui signifie qursquoagrave lrsquoimage du systegraveme Interactive le fournisseur drsquoidentiteacutes garde une traccedilabiliteacute des

interactions de lrsquoacteur

Enfin la derniegravere conception Credential-based est diffeacuterente des deux preacuteceacutedentes En effet lrsquoac-

teur srsquoauthentifie indeacutependamment aupregraves de son fournisseur drsquoidentiteacutes (en fonction du protocole

utiliseacute par ce dernier) et reacutecupegravere ainsi des Credentials qursquoil pourra utiliser aupregraves de fournisseur(s)

de service(s) conventionneacute(s) avec son fournisseur drsquoidentiteacutes Des Credentials sont des artefacts

85


FIGURE 44 ndash Authentification Interactive

FIGURE 45 ndash Authentification Active-client

transfeacuterables fournis par un fournisseur drsquoidentiteacutes agrave un utilisateur authentifieacute en guise de preuve

drsquoauthentification eg signatures numeacuteriques certificats X509 assertions SAML Par conseacutequent

les interactions de lrsquoacteur ne sont plus traccedilables par le fournisseur drsquoidentiteacutes En outre lrsquoacteur

dispose drsquoune liberteacute drsquoutilisation et de reacuteutilisation des Credentials (figure 46)

Les trois preacuteceacutedentes configurations preacutesentent certains avantages en matiegravere de gestion drsquoau-

86


FIGURE 46 ndash Authentification Credential-Based

thentification En revanche utiliseacutees telles quelles dans notre contexte de communauteacutes heacuteteacuterogegravenes

elles ne sont pas sans failles ni limites Le systegraveme Interactive ainsi que Active-Client sont assez vul-

neacuterables en matiegravere de preacuteservation de vie priveacutee en ce qui concerne les interactions de lrsquoacteur ce

qui donne la possibiliteacute (dans le cas ougrave le fournisseur drsquoidentiteacutes est compromis) par exemple de

reconstruire des processus meacutetiers deacutecomposeacutes et deacuteployeacutes dans la mecircme voire dans plusieurs com-

munauteacutes [15] Par ailleurs les configurations Active-Client et Credentials-based qui bannissent toutes

interactions directes entre le fournisseur de services et le fournisseur drsquoidentiteacutes concentrent beau-

coup de pouvoir sur lrsquoacteur En fait le client peut ecirctre consideacutereacute comme la partie la plus vulneacuterable

par rapport aux fournisseurs drsquoidentiteacutes et de services Ainsi si le client se fait usurper son iden-

titeacute le fournisseur de services ne pourra pas deacutetecter cette violation En effet ce problegraveme concerne

davantage la configuration Active-Client que la Credentials-based Car cette derniegravere se base sur un

systegraveme de combinaison drsquoattributs permettant de veacuterifier (au niveau du fournisseur de services)

si lrsquoacteur qui preacutesente les Credentials est bien celui qursquoil preacutetend ecirctre Cette veacuterification se fait au

moyen drsquoattribut(s) suppleacutementaire(s) lieacute(s) aux Credentials et stockeacute(s) au niveau du fournisseur

de services Ces attributs font office de cleacute secregravete partageacutee entre les deux parties comme proposeacute

par Idemix ou U-Prove Neacuteanmoins sachant que dans notre contexte le fournisseur drsquoidentiteacutes peut

se faire remplacer par lrsquoentreprise il est difficile de partager mutuellement de tels attributs entre

toutes les entreprises appartenant agrave une communauteacute donneacutee Cela signifie que lrsquointeraction entre le

fournisseur de services et le fournisseur drsquoidentiteacutes est ineacutevitable le challenge eacutetant alors de savoir

comment lrsquoexploiter de maniegravere optimale

Un fournisseur drsquoidentiteacutes peut ecirctre en parallegravele fournisseur de services dans le sens ougrave il veacuteri-

fie les identiteacutes drsquoacteurs externes et fournit des accreacuteditations et approbations aux acteurs internes

aupregraves drsquoautres fournisseurs drsquoidentiteacutes et de services Techniquement la communication entre deux

fournisseurs se fait au moyen de jeton certificat ou Credentials qui deacutependent du protocole utiliseacute

au niveau du fournisseur drsquoidentiteacutes Ce moyen de communication doit ecirctre compatible avec ce-

87


lui utiliseacute au niveau du fournisseur de services Dans le cas ougrave les fournisseurs drsquoidentiteacutes-services

utiliseacutes par deux ou plusieurs entreprises drsquoune mecircme communauteacute ne sont pas compatibles la pro-

ceacutedure drsquoauthentification peut engendrer des problegravemes drsquointeropeacuterabiliteacute Pour reacutesoudre ce pro-

blegraveme drsquointeropeacuterabiliteacute dans un contexte feacutedeacutereacute nous nous sommes baseacutes sur lrsquoutilisation de lrsquooutil

LemonLDAP-NG

4232 LemonLDAP-NG

LemonLDAP-NG est un outil Open source drsquoauthentification unique Capable de geacuterer plus 200

000 utilisateurs [130 129] LLDAP-NG supporte plusieurs protocoles drsquoauthentification agrave savoir

Active Directory Apache (Kerberos NTLM OTP etc) BrowserID (Mozilla Persona) CAS Facebook

(OAuth20) Google LDAP directory OpenID Radius Remote LemonLDAP-NG Proxy LemonLDAP-NG

SAML 20 Shibboleth Slave SSL Twitter (OAuth) WebID Yubikey Pour le processus drsquoauthentifi-

cation et la gestion des mots de passe utilisateurs en plus des protocoles LDAP et Active Directory

LemonLDAP-NG est aussi capable drsquoutiliser plusieurs types de base de donneacutees via une interface Perl

(ie DBI) agrave savoir MySQL PostgreSQL Oracle etc LemonLDAP-NG agit eacutegalement en tant que four-

nisseur drsquoidentiteacutes via les protocoles SAML Shibboleth identity-provider OpenID identity-provider

CAS identity-provider 48 Les principaux modules qui composent LemonLDAP-NG sont

bull Manager Utiliseacute pour administrer la configuration de lrsquoutilisation de LemonLDAP-NG et pour

parcourir les sessions des utilisateurs

bull Portal Principalement utiliseacute comme interface drsquoauthentification pour les utilisateurs le

Portal propose les diffeacuterents modes drsquoauthentification disponibles sous LemonLDAP-NG 49 En

outre le Portal fournit les identiteacutes numeacuteriques gracircce au fournisseur drsquoidentiteacutes CAS OpenID

et SAML Le Portal agit eacutegalement en tant que Proxy permettant de transfeacuterer des jetons

drsquoauthentification entre meacutecanismes drsquoauthentification heacuteteacuterogegravenes comme OpenID CAS etc

Par ailleurs le Portal permet de reacutealiser drsquoautres fonctionnaliteacutes de gestion comme changer

le mot de passe notifier lrsquoutilisateur afficher une liste des applications autoriseacutees

bull Handler Module Apache utiliseacute pour proteacuteger les applications au moment ougrave un utilisateur

essaye drsquoy acceacuteder le Handler protegravege les applications en veacuterifiant lrsquoexistence drsquoune certi-

fication (issue drsquoun meacutecanisme drsquoauthentification) de lrsquoidentiteacute de lrsquoutilisateur Si une telle

certification nrsquoest pas en possession de lrsquoutilisateur le Handler le redirige vers le Portal drsquoau-

thentification

La figure 47 montre le sceacutenario drsquoaccegraves agrave une ressource proteacutegeacutee gracircce agrave LemonLDAP-NG

48 Tous les fournisseurs drsquoidentiteacutes peuvent ecirctre utiliseacutes simultaneacutement ie sur le mecircme domaine49 Les modes drsquoauthentification doivent ecirctre preacuteconfigureacutes sur LemonLDAP-NG installeacute au niveau du domaine en ques-

tion

88


FIGURE 47 ndash LemonLDAP-NG mode de fonctionnement [ref]

1 Un utilisateur tente drsquoacceacuteder agrave une application proteacutegeacutee sa requecircte est intercepteacutee par le

Handler

2 Si le Handler ne deacutetecte pas de cookie authentification unique (SSO) alors il redirige lrsquoutili-

sateur au Portal pour qursquoil srsquoauthentifie

3 Lrsquoutilisateur srsquoauthentifie agrave travers le Portal

4 Le Portal veacuterifie lrsquoauthentification

5 Si lrsquoutilisateur srsquoauthentifie avec succegraves le Portal collecte les informations sur lrsquoutilisateur

aupregraves de la base LDAP

6 Le Portal creacutee ensuite une session pour sauvegarder les informations sur lrsquoutilisateur

7 Le Portal reacutecupegravere la cleacute de session

8 le Portal creacutee un cookie drsquoauthentification unique SSO avec la cleacute de la session reacutecupeacutereacutee lors

de lrsquoeacutetape preacuteceacutedente

9 Lrsquoutilisateur est redirigeacute vers lrsquoapplication proteacutegeacutee muni de son cookie

10 Le Handler reacutecupegravere la session depuis le cookie fourni par lrsquoutilisateur

11 Le Handler sauvegarde sur son cache les donneacutees de lrsquoutilisateur

12 Le Handler communique les informations concernant lrsquoutilisateur en question agrave lrsquoapplication

proteacutegeacutee en vue de veacuterifier les droits drsquoaccegraves

13 Lrsquoapplication envoie la reacuteponse au Handler

14 Le Handler transmet la reacuteponse de lrsquoapplication agrave lrsquoutilisateur

Les protocoles drsquoauthentification dans LemonLDAP-NG peuvent ecirctre choisis par lrsquoutilisateur gracircce

au module backend choice Le module backend multi permet de chaicircner les authentifications parmi

une liste dans le sens ougrave degraves qursquoune authentification reacuteussit lrsquoutilisateur est connecteacute Par ailleurs

89


LemonLDAP-NG est adapteacute aux contextes distribueacutes feacutedeacutereacutes tel qursquoun RSE gracircce agrave son mode drsquoau-

thentification Remote LemonLDAP-NG authentication Ce mode de fonctionnement permet une au-

thentification inter-domaines dans le cadre drsquoune feacutedeacuteration La Remote authentication permet drsquouti-

liser les informations de session drsquoun utilisateur authentifieacute dans un domaine donneacute aupregraves drsquoautres

domaines exteacuterieurs compatibles La Remote authentication est une forme drsquoauthentification unique

car elle permet agrave un utilisateur de srsquoauthentifier une seule fois pour plusieurs domaines Ce mode

drsquoauthentification fonctionne sous la condition que le Portal secondaire 50 soit deacuteclareacute au niveau du

Manager du Portal initial 51(deacuteleacutegueacute) Une autre forme drsquoauthentification inter-domaines est la Proxy

authentification En effet LemonLDAP est capable drsquoagir en tant que Proxy en transmettant des je-

tons drsquoauthentification uniques drsquoun portail agrave un autre Ce mode drsquoauthentification est inteacuteressant

quand il srsquoagit drsquoexposer le Portal LemonLDAP pour une authentification interne 52 aux fournisseurs

drsquoidentiteacute externes

Accessoirement il existe un outil permettant la transformation et la synchronisation de bases

de donneacutees sous le format LDAP Cet outil open-source est connu sous le nom de Ldap Synchroni-

zation Connector (LSC) LSC synchronise les donneacutees depuis nrsquoimporte quelle source de donneacutees agrave

savoir une base de donneacutees un annuaire LDAP ou un simple fichier tout en lisant transformant et

comparant les donneacutees entre les sources et les reacutefeacuterentiels de destination [132]

4233 Authentification et interopeacuterabiliteacute

LemonLDAP-NG supporte la plupart des protocoles de gestion des identiteacutes numeacuteriques agrave sa-

voir LoginPSW OpenID OAuth SSL X509 CAS et cela en tant que fournisseur et consommateur

drsquoidentiteacute Par conseacutequent nous proposons drsquoutiliser LemonLDAP-NG comme une ldquopasserellerdquo entre

diffeacuterents meacutecanismes drsquoauthentification existants Techniquement nous utilisons LemonLDAP-NG en

tant que client de gestion drsquoauthentification au niveau des communauteacutes collaboratives du RSE et

ce en se basant sur les meacutecanismes drsquoauthentification des entreprises comme fournisseurs drsquoidentiteacute

numeacuteriques

Du coteacute entreprise nous proposons de mettre en place LemonLDAP-NG sur une surcouche lo-

gicielle de gestion des identiteacutes collaboratives LemonLDAP-NG fera office de fournisseur de jetons

drsquoauthentification SAML OpenID et CAS aupregraves des acteurs de lrsquoentreprise Parallegravelement il agira

en tant que consommateur drsquoidentiteacute (ie fournisseur de services) vis-agrave-vis des communauteacutes colla-

boratives dans lesquelles sont impliqueacutes les acteurs de lrsquoentreprise La proceacutedure de consommation

a pour but la validation de lrsquoidentiteacute de chaque acteur externe Elle se deacuteclenche suite agrave la reacuteception

drsquoun jeton de demande drsquoapprobation drsquoun acteur de la part du gestionnaire drsquoauthentification de la

communauteacute en question

En effet pour la conception de notre architecture drsquoauthentification distribueacutee et feacutedeacutereacutee nous

nous sommes baseacutes sur une extension de la conception Credentials-based Ce choix permet de preacuteser-

ver la confidentialiteacute des expeacuteriences collaboratives de lrsquoacteur afin drsquoeacuteviter une eacuteventuelle traccedilabiliteacute

50 Le Portal du domaine de lrsquoapplication solliciteacutee51 Qui fournit les informations de session de lrsquoutilisateur en question52 La base drsquoinformation sur les utilisateurs est disponible en interne

90


de la part de tiers malveillants En outre la conception Credentials-based permet de reacuteduire la charge

de traitement pour le fournisseur drsquoidentiteacutes vu qursquoil ignore lrsquoobjet de chaque requecircte et se contente

seulement de fournir des Credentials universels permettant drsquoidentifier lrsquoacteur en question

Pour qursquoun acteur puisse srsquoauthentifier il demande dans un premier temps des Credentials agrave son

fournisseur drsquoidentiteacutes (ie son entreprise) Les Credentials seront geacuteneacutereacutes en fonction du protocole

drsquoauthentification du fournisseur drsquoidentiteacutes eg format OpenID ou SAML Ensuite lrsquoacteur four-

nit les Credentials au gestionnaire drsquoauthentification de la communauteacute qursquoil souhaite rejoindre Ce

dernier eacutetant compatible (gracircce agrave LemonLDAP) avec tous les formats de Credentials fournis sera en

mesure de proceacuteder agrave une proceacutedure drsquoauthentification en vue de la consommation drsquoune ressource

collaborative au sein de la communauteacute Pour cela une solution classique et typique Credentials-based

consisterait agrave partager une cleacute secregravete entre le fournisseur drsquoidentiteacutes de lrsquoentreprise de lrsquoacteur et le

gestionnaire drsquoidentiteacute de la communauteacute Comme nous lrsquoavons preacutesenteacute preacuteceacutedemment cette deacute-

marche nrsquoest pas tregraves seacutecuriseacutee ni facile agrave geacuterer dans un contexte ouvert tel qursquoune communauteacute RSE

Par conseacutequent nous avons modifieacute la configuration Credentials-based (illustreacutee dans la figure 46)

en y ajoutant une interaction entre les deux parties drsquoauthentification afin de veacuterifier que lrsquoidentiteacute

de lrsquoacteur en question nrsquoa pas eacuteteacute usurpeacutee tout en preacuteservant la confidentialiteacute des interactions col-

laboratives de lrsquoacteur La figure 48 montre le deacuteroulement de notre processus drsquoauthentification

feacutedeacutereacutee

1

2

3Certificat dauthentification

4

Fournisseur didentiteacuteLemonLDAPNGFournisseur de service

LemonLDAPNG

Entreprise

Acteur

Cre

dent

ials

Credentials + Id_externe

CommunauteacuteFeacutedeacuteration

FIGURE 48 ndash Processus drsquoauthentification

Jusqursquoagrave maintenant nous avons discuteacute les deux premiegraveres eacutetapes (1 et 2 de la figure 48) du

processus drsquoauthentification La troisiegraveme eacutetape illustre lrsquointeraction entre les deux parties En effet

gracircce agrave notre proceacutedure de gestion des identiteacutes des acteurs dans les communauteacutes nous pouvons

91


veacuterifier lrsquoauthenticiteacute drsquoun proprieacutetaire de Credentials sans avoir besoin de proceacutedures cryptogra-

phiques avanceacutees telles que le partage de cleacutes priveacutees Plus preacuteciseacutement notre gestion drsquoidentiteacute est

baseacutee sur les notions drsquoidentifiant interne immuable et propre agrave lrsquoentreprise de lrsquoacteur et un iden-

tifiant externe geacuteneacutereacute par le gestionnaire drsquoidentiteacute de lrsquoentreprise et lieacute agrave lrsquoidentifiant interne pour

une utilisation externe au sein drsquoune communauteacute donneacutee La geacuteneacuteration des Credentials est eacutegale-

ment deacutependante de lrsquoidentifiant interne Ainsi ce mix drsquoattributs permet de veacuterifier au niveau du

fournisseur drsquoidentiteacutes si lrsquoidentifiant externe de lrsquoacteur ainsi que les Credentials qursquoil preacutesente sont

conformes et ce par lrsquointermeacutediaire de lrsquoidentifiant interne de lrsquoacteur Plusieurs solutions peuvent

ecirctre proposeacutees dans le cadre de cette proceacutedure Une solution tregraves simple serait drsquoassocier une cleacute

unique agrave chaque identifiant interne et la deacutecomposer en deux parties qui seront associeacutees seacutepareacute-

ment agrave chaque instance drsquoidentifiant externe et Credentials Une fois les Credentials valideacutes par le

fournisseur drsquoidentiteacutes de lrsquoentreprise lrsquoacteur sera authentifieacute aupregraves du gestionnaire drsquoidentiteacute de

la communauteacute en question

Cependant le processus ne srsquoarrecircte pas agrave cette derniegravere eacutetape car lrsquoacteur voudra acceacuteder agrave des

ressources deacuteployeacutees dans le cadre de la communauteacute mais appartenant agrave drsquoautres entreprises Par

conseacutequent il est primordial que lrsquoidentiteacute de lrsquoacteur soit valideacutee aupregraves du meacutecanisme drsquoauthentifi-

cation de lrsquoentreprise proprieacutetaire de la ressource collaborative deacutesireacutee Pour cela nous nous servons

de la confiance mutuelle eacutetablie dans le cadre de la feacutedeacuteration Plus preacuteciseacutement eacutetant deacutejagrave authen-

tifieacute aupregraves du meacutecanisme drsquoauthentification de la communauteacute lrsquoidentiteacute de lrsquoacteur sera approuveacutee

aupregraves du meacutecanisme drsquoauthentification de lrsquoentreprise proprieacutetaire par le service LemonLDAP de la

communauteacute Techniquement lrsquoapprobation se fait au moyen de la communication drsquoun jeton 53 drsquoau-

thentification de la part de LemonLDAP de la communauteacute au meacutecanisme drsquoauthentification choisi

par lrsquoentreprise 54 Cette conception est tregraves avantageuse car elle permet drsquoun cocircteacute drsquoeacuteviter deacutejagrave de

nombreuses proceacutedures drsquoauthentification vis-agrave-vis de chaque entreprise appartenant agrave la commu-

nauteacute et drsquoun autre cocircteacute elle permet eacutegalement de reacutesoudre le problegraveme drsquointeropeacuterabiliteacute entre les

diffeacuterents meacutecanismes drsquoauthentification des entreprises partenaires

Pour reacutesumer comme illustreacute dans la figure Fig 49 55 le gestionnaire drsquoauthentification drsquoune

communauteacute veacuterifie lrsquoidentiteacute drsquoun acteur donneacute en interrogeant le gestionnaire drsquoidentiteacute de son

entreprise au moyen des Credentials drsquoidentiteacute fournis par le sujet de lrsquoauthentification Une fois

authentifieacute lrsquoidentiteacute de lrsquoacteur sera approuveacutee aupregraves de toutes les entreprises appartenant agrave la

communauteacute (feacutedeacuteration) par le gestionnaire drsquoidentiteacute de la communauteacute au moyen drsquoun eacutechange

de jetons compatibles (ie LemonLDAP)

LemonLDAP-NG ne vise pas agrave remplacer le meacutecanisme de base de gestion drsquoidentiteacute de lrsquoentreprise

Il sert plutocirct agrave offrir une ouverture agrave plus de diversiteacute et une flexibiliteacute concernant lrsquoutilisation de

meacutecanismes drsquoauthentification (eacuteventuellement incompatibles) entre les entreprises collaboratives

53 Le jeton prend la forme drsquoun cookie54 Sur la base des diffeacuterents protocoles drsquoauthentification proposeacutes par LemonLDAP55 Les numeacuteros 123 montre lrsquoordre des eacutetapes du processus

92

43 Conclusion

1


Fournisseur didentiteacuteLemonLDAPNG

Fournisseur de serviceLemonLDAPNG

Entreprise

Acteur

Universiteacute


23

FIGURE 49 ndash Authentification feacutedeacutereacutee

43 Conclusion

En reacutesumeacute nous avons proposeacute une conception drsquoun modegravele de collaboration (sous forme de

communauteacute) baseacute sur une architecture de plateforme hybride ie un compromis entre une archi-

tecture centraliseacutee et deacutecentraliseacutee Cette architecture nous a permis de reacutepondre aux principaux

besoins drsquoun reacuteseau social drsquoentreprise agrave savoir lrsquointeropeacuterabiliteacute la seacutecurisation de donneacutees et le

passage agrave lrsquoeacutechelle

Concernant la gestion des ressources nous avons proposeacute que ces derniegraveres restent heacutebergeacutees au

niveau des serveurs des entreprises et que le partage (deacuteploiement) passe drsquoabord par une phase de

virtualisation Agrave propos de la gestion des identiteacutes numeacuteriques notre solution est fondeacutee sur deux

notions drsquoidentifiant agrave savoir identifiant interne et identifiant externe Le dernier est geacuteneacutereacute sur la

base du premier et utiliseacute au niveau des communauteacutes de collaboration en tant que reacutefeacuterence drsquoat-

tributs identitaire de lrsquoacteur en question Quant agrave lrsquoidentifiant interne il est unique et proteacutegeacute par

lrsquoentreprise de lrsquoacteur en question Le couple de ces identifiants permet une authentification feacutedeacute-

reacutee baseacutee sur une extension de configuration Credential-based et lrsquooutil LemonLDAP-NG Ce dernier

permet par ailleurs de geacuterer lrsquointeropeacuterabiliteacute entre les diffeacuterents meacutecanismes de gestion drsquoauthenti-

fication utiliseacutes par les entreprises au sein de la feacutedeacuteration de collaboration

Lrsquoauthenticiteacute des attributs identitaires des acteurs est assureacutee gracircce agrave la confiance mutuelle qui

lie les entreprises dans le cadre drsquoune feacutedeacuteration Malgreacute cela dans un contexte large et ouvert agrave

grande eacutechelle agrave plusieurs entreprises il existe toujours un risque de faire confiance agrave toutes les

entreprises Pour cela il est neacutecessaire de cloisonner les cercles collaboratifs entre entreprises mecircme

au sein drsquoune mecircme communauteacute Cela justifie davantage la raison pour laquelle nous ne pouvons

93


pas nous fier uniquement agrave lrsquoauthentification et met par ailleurs en eacutevidence le besoin drsquoune phase de

controcircle drsquoaccegraves aux ressources collaboratives Dans le chapitre suivant nous aborderons ce controcircle

drsquoaccegraves dans les communauteacutes du RSE OpenPaaS agrave travers nos contributions sur cet aspect

94

Chapitre 5


Sommaire

51 Introduction 93







533 PolicySet 104






55 Conclusion 112

51 Introduction

Ayant preacutesenteacute la premiegravere partie concernant lrsquoarchitecture de collaboration ainsi que la gestion

des ressources et identiteacutes numeacuteriques nous aborderons dans ce chapitre la gestion du controcircle

drsquoaccegraves aux ressources partageacutees au sein des communauteacutes de collaboration OpenPaaS RSE

52 Repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves

Avant toute chose nous tenons agrave rappeler briegravevement les principaux besoins et problegravemes lieacutes

agrave la gestion des autorisations dans les communauteacutes OpenPaaS RSE Drsquoabord nous avons le par-

tage user-centric (cf section Controcircle drsquoaccegraves chapitre Probleacutematique et motivations) auquel

95

Chapitre 5 Controcircle drsquoaccegraves

est associeacutee la probleacutematique de la veacuterification automatique de la consistance et la coheacuterence des

politiques de controcircle drsquoaccegraves Cela nous oriente vers un choix de langage formel de politiques Le

partage user-centric donne aux acteurs le pouvoir de deacutefinir des permissions sur des ressources ap-

partenant agrave leurs entreprises Ainsi il faut que les entreprises aient leur autonomie pour garder le

controcircle sur leurs ressources partageacutees Par ailleurs le modegravele de regravegles neacutecessite une grande flexi-

biliteacute dans un environnement heacuteteacuterogegravene tel que le RSE car les attributs identitaires par rapport

auxquels les politiques sont deacutefinis (le rocircle par exemple) peuvent ecirctre heacuteteacuterogegravenes et parfois avec

une seacutemantique non-symeacutetrique entre deux ou plusieurs entreprise En outre nous avons eacutegalement

souligneacute lrsquoimportance drsquoavoir la possibiliteacute de deacutefinir des autorisations neacutegatives (interdiction) pour

permettre agrave un proprieacutetaire drsquoune ressource partageacutee (acteurentreprise) de srsquoopposer (suspendre)

agrave une autorisation drsquoaccegraves agrave la ressource en question Ceci implique en outre la neacutecessiteacute drsquoenvisager

des strateacutegies de combinaison entre des regravegles et des politiques Drsquoun autre cocircteacute nous avons preacutesenteacute

et mis en eacutevidence les avantages de la prise en compte du contexte qui est davantage fructueuse dans

le cas ougrave le contexte est exploiteacute drsquoune maniegravere dynamique et en temps reacuteel afin drsquoadapter le com-

portement du meacutecanisme de deacutecision Pour cela nous avons convenu qursquoil est plus judicieux drsquoopter

pour une approche eacuteveacutenementielle (ie baseacutee sur les eacuteveacutenements) Pour finir nous avons discuteacute la

possibiliteacute drsquoavoir des autorisations particuliegraveres comme la deacuteleacutegation qui consiste en une permis-

sion temporaire Par conseacutequent notre choix du langage de politique a eacuteteacute guideacute par la preacuteceacutedente

contrainte drsquoun formalisme ldquologiquerdquo ajouteacute au besoin drsquoinclure le temps pour la gestion des permis-

sions Notre choix srsquoest porteacute sur la logique temporelle Event-calculus qui est un langage formel baseacute

sur une logique de premier ordre et par ailleurs doteacute drsquoun raisonneur automatique ldquoDec-Reasonerrdquo

(cf section Vers une implantation formelle de XACML chapitre Eacutetat de lrsquoart) Le modegravele de controcircle

drsquoaccegraves que nous proposons dans le cadre de cette thegravese tient compte de lrsquointeacutegraliteacute de ces besoins


Par rapport aux neacutecessiteacutes que nous avons releveacutees dans le contexte du RSE ABAC nous permet

de reacutepondre aux besoins suivants

mdash Flexibiliteacute du modegravele de regravegle car gracircce agrave ABAC nous avons la possibiliteacute de deacutefinir des

attributs suppleacutementaires et les combiner sous la mecircme regravegle eg le grade les compeacutetences

lrsquoadresse IP la reacuteputation le type de terminal etc

mdash Possibiliteacute de deacutefinir des interdictions par le biais de lrsquoajout de lrsquoattribut type qui prend

comme valeur ldquoPermitrdquo pour une regravegle drsquoautorisation ou ldquoDenyrdquo pour une regravegle drsquointerdiction

mdash Autonomie des entreprises puisqursquoelles peuvent deacutefinir des contraintes suppleacutementaires

voire mecircme des regraveglespolitiques entiegraveres compleacutementaires agrave celles deacutefinies par les acteurs

mdash Consideacuteration du contexte gracircce agrave la flexibiliteacute des regravegles par rapport aux attributs uti-

liseacutes pour leurs deacutefinitions entre autres le temps ce qui permet eacutegalement de deacutefinir des

permissions eacutepheacutemegraveres ie deacuteleacutegation

Un de nos objectifs en matiegravere de controcircle drsquoaccegraves dans OpenPaaS RSE est la possibiliteacute de deacute-

finir des autorisations temporaires Par conseacutequent nous avons fait le choix drsquoimplanter le modegravele

96


ABAC gracircce agrave un langage formel qui inclut la gestion du temps agrave savoir la logique Event-calculus

Dans la section suivante nous preacutesentons notre formalisme du modegravele de controcircle drsquoaccegraves baseacute sur

Event-calculus Cependant afin drsquoeacutelucider le deacuteroulement du processus du controcircle drsquoaccegraves nous

preacutesenterons drsquoabord lrsquoarchitecture de controcircle drsquoaccegraves inspireacutee de XACML

522 Vision drsquoarchitecture

Notre vision du RSE est principalement fondeacutee sur le concept de communauteacute La figure 51

montre lrsquoarchitecture de notre framework de controcircle drsquoaccegraves dans chaque communauteacute du RSE

Cette architecture est inspireacutee de lrsquoarchitecture basique de XACML (cf chapitre Eacutetat de lrsquoart) Neacutean-

moins nous lrsquoavons eacutetendu (par rapport agrave nos besoin OpenPaaS) avec un autre module de gestion

de la confiance

1 Community Enforcement Service (CES) ce composant est lrsquointerface entre lrsquoacteur et le

systegraveme de controcircle drsquoaccegraves de la communauteacute Il sert en outre de pont entre le reste des

composants du framework

2 Community Information Store (CIS) la base drsquoinformation de la communauteacute ougrave les attri-

buts des ressources acteurs et les organisations sont enregistreacutees

3 Community Administration Store (CAdS) la base principale dans laquelle sont ajouteacutees

administreacutees et stockeacutees les politiques et regravegles de controcircle drsquoaccegraves de la communauteacute

4 Community Decision Service (CDS) ce module est responsable de la prise de deacutecision

finale vis-agrave-vis de toute requecircte reccedilue Plus preacuteciseacutement agrave la reacuteception drsquoune requecircte le CDS

recherche les politiques et regravegles du CAdS correspondantes au sujet geacutenegravere par la suite les

patrons Event-calculus et enfin met en application les politiques vis-agrave-vis de la requecircte en

question au moyen du raisonneur Dec-Reasoner

5 Community Trust Service (CTS) ce service gegravere la reacuteputation et la confiance numeacuterique

des acteurs de la communauteacute Pour eacutevaluer et mettre agrave jour la reacuteputation drsquoun acteur donneacute

le CTS interagit drsquoun cocircteacute avec le CES pour reacutecupeacuterer les informations de session courante de

lrsquoacteur en question et de lrsquoautre cocircteacute interagit avec le CIS pour reacutecupeacuterer les traces drsquointer-

actions historiques de lrsquoacteur

Les diffeacuterentes eacutetapes illustreacutees dans la figure 51 peuvent ecirctre diviseacutees en deux processus paral-

legraveles et compleacutementaires agrave savoir le processus principal de controcircle drsquoaccegraves (Bloc A) et un processus

compleacutementaire drsquoeacutevaluation de la confiance numeacuterique (Bloc B)

Trois modules sont impliqueacutes dans le processus drsquoeacutevaluation de la confiance agrave savoir le CES le

CTS et le CIS Le module principal dans ce processus est bien le CTS Ce dernier interagit en premier

lieu (eacutetape 1) avec le CES pour reacutecupeacuterer les informations sur le comportement de lrsquoacteur pendant

sa session courante Ensuite (eacutetape 2) il reacutecupegravere des informations sur lrsquohistorique drsquoeacutevaluation de

la confiance de lrsquoacteur en guise de paramegravetres pour la proceacutedure drsquoeacutevaluation de la confiance et la

reacuteputation courante du mecircme acteur

97


CIS

CTSCDS

CAdS politiques

CES

2

13

Gestion regravegles et politiques Service-Web

Raisoneur logique

Acteur

Acteur (Demandeur daccegraves)

acteurs

ressources

regravegles

Entreprise

1

2

Bloc A (Controcircle daccegraves)

Bloc B (Gestion de confiance)

3

FIGURE 51 ndash Architecture globale du frame-work de controcircle drsquoaccegraves OpenPaaS

Parallegravelement le processus du controcircle drsquoaccegraves inclut quatre modules du framework agrave savoir

CES CIS CDS et CAdS Le CAdS est le conteneur des politiques de seacutecuriteacute le noyau autour duquel

tout le framework est fondeacute Il srsquoagit drsquoune base de donneacutees administreacutee par les entreprises ainsi que

les acteurs agrave travers lrsquoinsertion la modification et la suppression de regravegles et politiques de controcircle

drsquoaccegraves Le composant principal dans le processus de prise de deacutecision est le CDS Afin qursquoil puisse

prendre une deacutecision drsquoautorisation drsquoaccegraves (Eacutetape 3) le CDS interagit directement avec le CAdS

(eacutetape 3rsquo) pour reacutecupeacuterer les regravegles et politiques par rapport aux attributs drsquoune requecircte reccedilue qui

lui sont transmis par le CES Le CES peut reacutecupeacuterer des meacutetadonneacutees (contextuelles par exemple)

sur le sujet lrsquoobjet et la requecircte avant de les transmettre au CDS (eacutetape 2) Une fois la deacutecision

prise par le CDS et transmise au CES ce dernier se charge de notifier lrsquoacteur de la deacutecision en lui

autorisant ou refusant lrsquoaccegraves agrave la ressource demandeacutee

53 Repreacutesentation formelle du modegravele de controcircle drsquoaccegraves

Dans cette partie nous preacutesenterons en deacutetail tous les composants de notre modeacutelisation du

controcircle drsquoaccegraves dans les communauteacutes OpenPaaS et ce agrave travers les diffeacuterents patrons Event-calculus

que nous avons proposeacutes

98


531 Modeacutelisation des regravegles de controcircle drsquoaccegraves

Dans notre modegravele la regravegle est le noyau de toutes politiques de controcircle drsquoaccegraves Suivant le mo-

degravele ABAC une regravegle est geacuteneacuteralement composeacutee de Cible (Target) Condition et Type Le reacutesultat de

lrsquoexeacutecution drsquoune regravegle est appeleacute Effet qui prend la valeur Permit (autoriseacute) ou Deny (non-autoriseacute)

5311 Cible

La cible drsquoune regravegle speacutecifie les attributs utiliseacutes pour veacuterifier si la regravegle en question correspond

agrave une requecircte donneacutee Nous proposons une speacutecification geacuteneacuterique de la cible drsquoune regravegle en forma-

tant les attributs inclus sous forme de paire nom-valeur Ce choix nous permet drsquoavoir une grande

flexibiliteacute dans la deacutefinition des regravegles Par exemple comme attribut de cible on peut avoir Nom

Ressource Valeur DocumentA Dans notre modeacutelisation la conception de la cible drsquoune regravegle inclut

la ressource deacutesireacutee le sujet consommateur et lrsquoaction demandeacutee par le sujet sur la ressource Il est

eacutegalement possible drsquooffrir une repreacutesentation abstraite des composants de la cible Par exemple

lrsquoattribut ldquorocircleeacutequipeorganisationrdquo au lieu de lrsquoattribut Sujet lrsquoattribut ldquoVuerdquo [111] agrave la place de

ldquoressourcerdquo etc Par ailleurs une requecircte est principalement composeacutee des attributs suivants sujet

objet et action Nous preacutesenterons en premier lieu notre modegravele de veacuterification de la cible drsquoune regravegle

par rapport agrave une requecircte (Model1)

sort r atname atvaluepredicate AtHasValue (atname atvalue) (1)event Match(r) Mismatch(r)fluent RuleTargetHolds(r)

forall r time Initiates (Match(r) RuleTargetHolds(r) time) (2)forall r time Terminates (Mismatch(r) RuleTargetHolds(r) time) (3)

forall r not HoldsAt(RuleTargetHolds(r)0) (4)

Modegravele 1 (Modeacutelisation de la partie Target drsquoune regravegle)

Le modegravele 1 illustre un patron geacuteneacuterique de modeacutelisation de la cible drsquoune regravegle Dans ce mo-

degravele nous avons drsquoabord deacutefini quelques variables agrave savoir r atname et atvalue La variable r est

utiliseacutee pour repreacutesenter les regravegles Les variables atname et atvalue sont utiliseacutees pour repreacutesenter

respectivement le nom drsquoun attribut et sa valeur Ensuite nous avons deacutefini le preacutedicat (1) AtHas-

Value qui permet de speacutecifier les attributs de la cible En outre nous avons deacutefini les eacuteveacutenements

Match et Mismatch et leur effet RuleTargetHolds Pour geacuterer les eacuteveacutenements nous avons deacutefini le preacute-

dicat (2) (Initiate) pour lrsquoactivation et le preacutedicat (3) (Terminates) pour la deacutesactivation Le fluent

RuleTargetHolds sera utiliseacute comme eacutetant le but rechercheacute qui nrsquoest pas atteint par deacutefaut gracircce au

preacutedicat (4) (ie initialisation agrave lrsquoinstant 0 agrave faux) En effet lrsquoeacuteveacutenement Match se produit quand la

cible drsquoune instance de regravegle correspond aux valeurs drsquoattributs de la requecircte en question

99


5312 Effet et condition

Une fois la cible veacuterifieacutee la regravegle peut ecirctre eacutevalueacutee agrave base des conditions et du type Le type de la

regravegle est un attribut indiquant srsquoil srsquoagit drsquoune Permission ou drsquoune Interdiction Quant aux conditions

gracircce agrave notre choix drsquoun modegravele ABAC et au formalisme Event-calculus nous avons la possibiliteacute de

consideacuterer plusieurs types de contraintes fonctionnelles et non fonctionnelles Cependant nous avons

geacuteneacuteraliseacute la modeacutelisation des contraintes sous le volet de la gestion du contexte Cela nous permet

de deacutefinir des politiques au niveau des entreprises davantage abstraites que celles deacutefinies au niveau

des acteurs Plus de deacutetails sur lrsquoaspect de contraintes contextuelles seront preacutesenteacutes dans le chapitre

Gestion du risque

5313 Modegravele de regravegle

Dans le modegravele 2 nous preacutesentons le patron geacuteneacuterique de modeacutelisation de regravegles Afin de veacuterifier

si une instance de regravegle srsquoapplique sur la requecircte le modegravele de regravegle se base sur la validation de

la cible Pour cela le modegravele 1 est reacuteutiliseacute Si aucune cible de regravegle ne srsquoapplique agrave la requecircte

le reacutesultat obtenu agrave partir du modegravele de regravegle sera Not-Applicable Sinon la regravegle autorise lrsquoaccegraves

(RulePermitted) ou le refuse (RuleDenied)

sort r sfluent [RulePermittedRuleDeniedRuleNotApplicable](r)event [ApproveRuleDisApproveRuleRejectRule](r)

forall r time Initiates (ApproveRule(r) RulePermitted(r) time)forall r time Initiates (DisApproveRule(r) RuleDenied(r) time)forall r time Initiates (RejectRule(r) RuleNotApplicable(r) time)

forall r time s Happens (ApproveRule(r)time)rarrHoldsAt (TargetHolds(r)time) and HoldsAt (ContextHolds(s)time) andHoldsAt (RuleTypePermission(r)time) (1)

forall r time s Happens (DisApproveRule(r)time)rarrHoldsAt(TargetHolds(r)time) and [not HoldsAt(ContextHolds(s)time) ornot HoldsAt(RuleTypeProhibition(r)time)] (2)

forall r time Happens (RejectRule(r)time)rarr HoldsAt (TargetDoesntHold(r)time)forall r not HoldsAt (RulePermitted(r)0) (3)forall r not HoldsAt (RuleDenied(r)0) 3forall r not HoldsAt (RuleNotApplicable(r)0) 3

Modegravele 2 (Modegravele de regravegle de controcircle drsquoaccegraves)

Dans ce dernier patron nous avons deacutefini une variable s qui repreacutesente le sujet de la regravegle Les

principaux fluents sont utiliseacutes pour indiquer si lrsquoeffet de la regravegle sera Permit Deny ou Not-Applicable

Les eacuteveacutenements de controcircle des eacutetats des fluents sont ApproveRule DisApprouveRule et RuleDoesNo-

tApply pour signifier respectivement la que requecircte est approuveacutee rejeteacutee ou la regravegle nrsquoest mecircme pas

applicable sur les attributs de la requecircte Pour cela nous nous sommes baseacutes sur le preacutedicat Initiate

pour geacuterer ces trois eacuteveacutenements

100


Lrsquoaxiome (1) controcircle lrsquooccurrence de lrsquoeacuteveacutenement ApproveRule agrave travers plusieurs conditions

En premier lieu la cible de lrsquoinstance de la regravegle en question doit correspondre aux attributs de la

requecircte reccedilue Ensuite le contexte au moment de la reacuteception de la requecircte ne doit pas preacutesenter des

exceptions de seacutecuriteacute Cet aspect sera deacutetailleacute plus tard dans le cadre des regravegles entreprise (modegravele

11) Cependant afin que la gestion des regravegles reste simple pour des utilisateurs non expeacuterimenteacutes le

contexte est ignoreacute dans le cadre des regravegles deacutefinies par les acteurs et consideacutereacute comme eacutetant valideacute

pour toutes les requecirctes Enfin le type de la regravegle doit ecirctre une permission et non une interdiction Ces

trois derniegraveres conditions satisfaites lrsquoeacuteveacutenement (ApproveRule) peut ainsi se produire et changer par

conseacutequent lrsquoeacutetat du fluent RuleIsPermitted autorisant par la suite le sujet de la requecircte en question

Toujours avec des opeacuterateurs logiques lrsquoaxiome (2) reacutealise le processus inverse pour veacuterifier si la

requecircte reccedilue doit ecirctre rejeteacutee Enfin les preacutedicats (3) initialisent touts les effets de toutes regravegles agrave

faux

5314 Instance et eacutevaluation de regravegle

Le modegravele 3 illustre un exemple drsquoinstance drsquoune regravegle particuliegravere agrave savoir la regravegle ldquoRuleJamesrdquo

mettant en eacutevidence les valeurs des attributs de la cible

fluent RuleTypePermission(r)fluent RuleTypeProhibition(r)r RuleJamesatname Subject Object Action

forall r time Happens(Match(r) time) and AtHasValue(Subject atvalue1) andAtHasValue(Object atvalue2) and AtHasValue(Action atvalue3)rarratvalue1 = James and atvalue2 = CV_Jessypdf and atvalue3 = Read (1)

forall r time Happens(Mismatch(r) time) and AtHasValue(Subject atvalue1) andAtHasValue(Object atvalue2) and AtHasValue(Action atvalue3)rarratvalue1 6= James and atvalue2 6= CV_Jessypdf and atvalue3 6= Read (2)

HoldsAt(RuleTypePermission(RuleBob)0) (3)not HoldsAt(RuleTypeProhibition(RuleBob)0) 3

Modegravele 3 (Instance de regravegle)

La regravegle RuleJames est deacutefinie par Jessy en vue du partage de son CV en lecture avec James Les

attributs de cette regravegle sont Subject= James Object=CV_Jessypdf Action=Read Ainsi si le sujet James

eacutetablit une requecircte de demande de lecture agrave la ressource CV_Jessypdf la cible sera valideacutee (axiome

(1)) sinon cette regravegle ne sera pas applicable sur la requecircte de James (axiome 2) Les preacutedicats (3)

servent agrave deacutefinir le type de la regravegle en lrsquooccurrence permission pour RuleJames

Les objectifs (du raisonnement par abduction) sont illustreacutes dans le modegravele 4 Ces objectifs

concernent en premier lieu la veacuterification de la cible (1) ensuite la veacuterification de lrsquoeffet de regravegle ie

PermitDeny (2)

Les reacutesultats du raisonnement sur lrsquoinstance de regravegle RuleJames sont illustreacutes dans Solution 1

et Solution 2 La Solution 1 montre la veacuterification de la cible tandis que la Solution 2 montre le

101


reacutesultat complet du raisonnement sur la requecircte par rapport agrave la regravegle

forall r HoldsAt(RuleTargetHolds(r) 1) or not HoldsAt(RuleTargetHolds(r) 1) (1)forall r HoldsAt(RuleIsPermitted(r) 2) or HoldsAt(RuleIsDenied(r) 2) or Hold-sAt(RuleIsNotApplicable(r) 2) (2)

Modegravele 4 (Objectifs)

Les reacutesultats du raisonnement sur la partie de veacuterification de la cible par le raisonneur Dec-

Reasoner sont illustreacutes dans Solution1

t0

Happens(Match(RuleJames) 0)t1

+RuleTargetHolds(RuleJames)

Solution 1 (Eacutevaluation de la Target drsquoune regravegle par Dec-Reasoner)

La solution 1 montre qursquoagrave lrsquoinstant t1 le fluent indiquant la correspondance de la requecircte avec la

cible de la regravegle RuleJames est valideacute Cette correspondance a eacuteteacute veacuterifieacutee agrave lrsquoinstant t0 (par rapport

aux preacutedicats (1) et (2) du modegravele 3) provoquant lrsquooccurrence de lrsquoeacuteveacutenement Match pour lrsquoinstance

RuleJames

La solution 2 montre que agrave partir de lrsquoinstant t1 les fluents relatifs au contexte et la cible sont

deacutejagrave veacuterifieacutes et que le type de la regravegle est une permission Ainsi lrsquoeacuteveacutenement ApproveRule peut se

produire et changer lrsquoeacutetat du fluent RuleIsPermitted agrave Vrai apregraves qursquoil a eacuteteacute initialiseacute agrave Faux agrave lrsquoinstant

t0 (modegravele 2 raquo preacutedicat (3)) Dans le cas ougrave lrsquoun des fluents deacutefini dans lrsquoaxiome de controcircle de

lrsquoeacuteveacutenement de la regravegle nrsquoest pas valideacute alors crsquoest le fluent RuleIsDenied qui change drsquoeacutetat agrave Vrai

(modegravele 3 raquo preacutedicat (2)) Autrement dans le cas ougrave crsquoest la cible qui ne correspond pas le reacutesultat

de retour sera RuleNotApplicable ie la conseacutequence de lrsquoeacuteveacutenement RejectRule dans le modegravele 2

t0

+ ContextHolds(James)RuleTypePermission(RuleJames)t1

+ TargetHolds(RuleJames)Happens(ApproveRule(RuleJames) 0)t2

+ RulePermitted(RuleJames)

Solution 2 (Reacutesultats drsquoeacutevaluation de regravegle par Dec-Reasoner)

532 Modeacutelisation de politiques de controcircle drsquoaccegraves

Une politique est un ensemble de regravegles Cela signifie que le modegravele de gestion de politique est

principalement baseacute sur des strateacutegies de combinaison de regravegles Sachant qursquoune regravegle peut avoir

comme effet Permit Deny ou Not-applicable le modegravele de politiques doit pouvoir prendre une deacuteci-

sion vis-agrave-vis drsquoune requecircte sur la base des effets des regravegles qui composent la politique en question

Ainsi comme une regravegle lrsquoeffet drsquoune politique prend comme valeurs Deny Permit ou NotApplicable

102


Les strateacutegies de combinaison que nous avons utiliseacutees dans nos modegraveles de controcircle drsquoaccegraves

sont Deny-takes-precedence Permit-takes-precedence All-Deny All-Permit All-NotApplicable Cepen-

dant ces strateacutegies doivent ecirctre utiliseacutees selon une certaine discipline Par conseacutequent afin de former

une politique nous avons proceacutedeacute avec deux types de regroupement de regravegles lrsquoun baseacute sur tous les

attributs de la cible drsquoune requecircte et lrsquoautre baseacute uniquement sur le sujet de cette derniegravere

5321 Patron de politiques baseacutees sur la cible

La premiegravere meacutethode de deacutefinition drsquoune politique est de faire un regroupement de regravegles en se

basant sur la mecircme cible contenue dans la requecircte reccedilue agrave savoir le sujet lrsquoobjet et lrsquoaction Par

conseacutequent la politique contient uniquement des regravegles qui sont applicables sur la requecircte reccedilue

Cette meacutethode de regroupement par cible est utiliseacutee dans le cas ougrave une ressource appartient agrave

au moins deux ou plusieurs entiteacutes collaboratrices Il suffit qursquoune seule entiteacute revendique lrsquoaccegraves

agrave la ressource pour que la requecircte soit rejeteacutee Cependant si tous les proprieacutetaires de la ressource

sont drsquoaccord pour accorder lrsquoaccegraves la requecircte sera autoriseacutee Par conseacutequent dans cette meacutethode

de formation de politique nous opeacuterons les strateacutegies de combinaison All-permit et Deny-takes-

precedence

Le patron geacuteneacuterique de politiques baseacutees sur la cible est illustreacute dans le modegravele 5 dans lequel

les politiques sont reacutefeacuterenceacutees par la variable p Les strateacutegies de combinaison sont deacutefinies agrave travers

les axiomes (1) pour Deny-takes-precedence et (2) pour All-permit Dans lrsquoaxiome (1) pour chaque

politique p regravegle r et instant t il suffit qursquoune seule regravegle appartenant agrave la politique soit agrave effet Deny

pour que lrsquoeacuteveacutenement DisApprovePolicy se produise agrave lrsquoeacutegard de cette politique provoquant ainsi un

effet Deny pour la politique agrave travers le fluent PolicyDenied Inversement lrsquoaxiome (1) veacuterifie que

toutes les regravegles drsquoune politique autorisent lrsquoaccegraves agrave la ressource demandeacutee ie effet Permit

sort p rfluent PolicyPermitted(p) fluent PolicyDenied(p) fluent PolicyNotApplicable(p)event ApprovePolicy(p) event DisApprovePolicy(p) event RejectPolicy(p)predicate PolicyHasRules(pr)

forall p time Initiates (ApprovePolicy(p) PolicyPermitted(p) time)forall p time Initiates (DisApprovePolicy(p) PolicyDenied(p) time)forall p time Initiates (RejectPolicy(p) PolicyNotApplicable(p) time)

Combination strategy Deny-takes-precedenceforall p r time Happens(DisApprovePolicy(p)time) rarr exist r PolicyHasRules(pr) and Hold-sAt(RuleDenied(r)time) (1)

Combination strategy All-permitforall p r time Happens(ApprovePolicy(p)time) and PolicyHasRules(pr) rarr Hold-sAt(RulePermitted(r)time) (2)

forall p not HoldsAt (PolicyPermitted(p)0)forall p not HoldsAt (PolicyDenied(p)0)

Modegravele 5 (Modegravele de politique regroupement par cible)

103


5322 Patron de politiques baseacutees sur le sujet

Dans cette meacutethode les politiques sont formeacutees agrave base des regravegles concernant le mecircme sujet agrave

savoir le sujet de la requecircte reccedilue Par conseacutequent on peut trouver dans la politique des regravegles qui

ne sont pas applicables sur la requecircte en question Cette maniegravere de deacutefinir des politiques consiste

agrave trouver au moins une regravegle dans lrsquoensemble permettant drsquoaccreacutediter ou non le sujet en question

Cette meacutethode se base sur lrsquohypothegravese qursquoil ne peut pas y avoir deux regravegles avec les mecircmes cibles et

de types diffeacuterents En revanche si aucune regravegle nrsquoest applicable sur la ressource en question avec

lrsquoaction deacutesireacutee lrsquoeffet de la politique sera Not-Applicable Par conseacutequent nous proceacutedons au moyen

des strateacutegies (permitdeny)-takes-precedence avec All-NotApplicable Ces strateacutegies de combinaison

sont ainsi choisies pour ce genre de politiques afin drsquoeacuteviter les eacuteventuels conflits de combinaison

En effet si les strateacutegies Deny-overrides All-permit avec All-NotApplicable sont utiliseacutees ensemble

on aura une incoheacuterence dans le cas ougrave une regravegle qui satisfait la cible est permise et que dans la

politique il existe certaines regravegles qui ne sont pas applicables

La modeacutelisation de ce type de politiques baseacutees sur le sujet est illustreacutee dans le modegravele 6 Les

strateacutegies Deny-takes-precedence et Permit-takes-precedence sont mises en place respectivement agrave tra-

vers les axiomes (1) et (2) de preacuteconditions de lrsquoeacuteveacutenement DisApprovePolicy et ApprovePolicy Quant

agrave lrsquoaxiome (3) il veacuterifie si toutes les regravegles de la politique ne srsquoappliquent pas agrave la cible de la requecircte

reccedilue afin drsquoignorer la politique en rendant lrsquoeffet PolicyNot-applicable



Combination strategy Deny-takes-precedence forall p r time Happens(DisApprovePolicy(p) time) rarr exist r PolicyHasRules(pr) and Hold-sAt(RuleDenied(r) time) (1)

Combination strategy Permit-takes-precedence forall p r time Happens(ApprovePolicy(p) time)rarrexist r PolicyHasRules(pr) and HoldsAt(RulePermitted(r)t) (2)

Combination strategy All-NotApplicable forall p r time Happens(RejectPolicy(p) time) and PolicyHasRules(pr) rarr Hold-sAt(RuleNotApplicable(r) time) (3)forall p not HoldsAt(PolicyPermitted(p)0)forall p not HoldsAt(PolicyDenied(p)0)forall p not HoldsAt (PolicyNotApplicable(p)0)

Modegravele 6 (Modegravele de politique regroupement par sujet)

Agrave la fin des deux modegraveles de politiques nous initialisons les fluents correspondant aux diffeacuterents

effets de la politique agrave savoir Permited Denied ou NotApplicable

104


5323 Instance et eacutevaluation de politique

Pour deacutefinir une instance de politique nous avons utiliseacute le preacutedicat PolicyHasRule qui speacutecifie

quelles regravegles rentrent sous la sphegravere de quelle politique Ainsi nous avons deacutefini (conformeacutement

agrave lrsquoexemple de motivation) la politique concernant la candidature de Jessy qui doit envoyer son CV

agrave James pour lecture Nous avons appeleacute cette politique JessyApplication Nous avons conccedilu cette

politique avec les deux meacutethodes de combinaison agrave savoir cible et sujet Le modegravele 7 montre une

instance de politique baseacutee sur des regravegles ayant la mecircme cible (SujetObjetAction) que la requecircte

reccedilue agrave savoir JamesCV_JessypdfRead

policy JessyApplication

PolicyHasRule(JessyApplication RuleJessy)PolicyHasRule(JessyApplication RuleBob)PolicyHasRule(JessyApplication RuleAlice)

Modegravele 7 (Policy (Target) specification)

Cette politique est composeacutee de trois regravegles RuleJessy RuleBob RuleAlice qui sont deacutefinies res-

pectivement par Jessy Bob et Alice Dans leurs regravegles Jessy et Alice autorisent James agrave lire le CV

de Jessy ie les deux regravegles sont de types Permission Cependant Bob lrsquoencadrant de Jessy reven-

dique lrsquoaccegraves (pour une raison donneacutee) via sa regravegle qui est de type Interdiction Quand on invoque le

raisonneur pour ce patron il donne les reacutesultats qui apparaissent dans la solution 3

t0

Happens(ApproveRule(RuleJessy) 0)Happens(ApproveRule(RuleAlice) 0)Happens(DisApproveRule(RuleBob) 0)t1

+ RulePermitted(RuleJessy)+ RulePermitted(RuleAlice)+ RuleDenied(RuleBob)Happens(DisApprovePolicy(JessyApplication) 1)t2

+ PolicyDenied(JessyApplication)

Solution 3 (Reacutesultats drsquoeacutevaluation de politique (Target) par Dec-Reasoner)

Le Modegravele 8 illustre une instance de politique baseacutee sur le mecircme sujet Dans lrsquoensemble des

regravegles qui composent cette politique seule la regravegle deacutefinie par Jessy srsquoapplique sur la requecircte reccedilue

et approuve par ailleurs cette demande drsquoaccegraves Le reacutesultat du Dec-Reasoner figure dans la solution 4

Il est agrave noter que dans la solution deacutecrite par le raisonneur Dec-Reasoner le signe moins (-) preacuteceacutedant

un fluent signifie sa valeur est faux le signe (+) signifie que la valeur du fluent est vrai

105



PolicyHasRule(JessyApplication RuleEve)PolicyHasRule(JessyApplication RuleWalter)PolicyHasRule(JessyApplication RuleNestor)PolicyHasRule(JessyApplication RuleJessy)PolicyHasRule(JessyApplication RuleMatilda)

Modegravele 8 (Policy (sujet) specification)

Le reacutesultat du raisonnement est le suivant

t0

Happens(Mismatch(RuleEve) 0)Happens(Mismatch(RuleWalter) 0)Happens(Mismatch(RuleNestor) 0)Happens(Match(RuleJessy) 0)Happens(Mismatch(RuleMatilda) 0)t1

- RuleTargetHolds(RuleEve)- RuleTargetHolds(RuleWalter)- RuleTargetHolds(RuleNestor)+ RuleTargetHolds(RuleJessy)- RuleTargetHolds(RuleMatilda)t2

Happens(RejectRule(RuleEve) 2)Happens(RejectRule(RuleWalter) 2)Happens(RejectRule(RuleNestor) 2)Happens(ApproveRule(RuleJessy) 2)Happens(RejectRule(RuleMatilda) 2)t3

+ RuleNotApplicable(RuleEve)+ RuleNotApplicable(RuleWalter)+ RuleNotApplicable(RuleNestor)+ RulePermitted(RuleJessy)+ RuleNotApplicable(RuleMatilda)t4

Happens(ApprovePolicy(JessyApplication) 4)t5

+ PolicyPermitted(JessyApplication)

Solution 4 (Reacutesultats drsquoeacutevaluation de politique (Sujet) par Dec-Reasoner)

533 PolicySet

Agrave partir de cette section nous appellerons les regravegles et politiques deacutefinies par les sujets regraveglepolitique

ldquode partagerdquo

Un policySet est un ensemble qui permet de regrouper plusieurs politiques En XACML le policySet

est consideacutereacute comme la racine de toute autorisation drsquoaccegraves Dans notre contexte RSE nous avons

exploiteacute le concept de policySet pour mettre en parallegravele les politiques de partage de ressources

et les politiques des entreprises Ainsi une entreprise garde le controcircle agrave travers ses politiques sur

106


les politiques de partage de ressources et ce au moyen de la combinaison de ces deux niveaux de

politiques

En effet les strateacutegies de combinaisons prennent en compte uniquement les effets (PermitDeny)

de politiques ce qui signifie que les politiques de partage et les politiques drsquoentreprises sont indeacute-

pendantes Cette indeacutependance permet aux entreprises drsquoavoir la possibiliteacute de deacutefinir des politiques

avec un niveau drsquoabstraction plus eacuteleveacute et geacuteneacuterique Cependant afin de pouvoir combiner des stra-

teacutegies de controcircle drsquoaccegraves les deux parties (entreprise sujet) doivent se mettre au mecircme niveau sur

la structure XACML Par exemple en respectant la structure XACML on ne peut pas combiner des

regravegles avec des politiques

Donc si lrsquoentreprise deacutecide drsquoavoir un niveau drsquoabstraction plus eacuteleveacute de sa strateacutegie de controcircle

drsquoaccegraves elle doit srsquoaligner avec les strateacutegies de controcircle drsquoaccegraves deacutefinies par les sujets au niveau des

politiques En effet agrave lrsquoimage drsquoune politique de partage une politique drsquoentreprise peut ecirctre com-

poseacutee de plusieurs regravegles En revanche afin de respecter lrsquoabstraction rechercheacutee dans les politiques

drsquoentreprise cette derniegravere ne peut pas ecirctre baseacutee sur la combinaison drsquoinstances de regravegles comme

celles deacutefinies par les sujets Une politique drsquoentreprise doit ecirctre deacutefinie sur la base de paramegravetres

plus geacuteneacuteriques qui ne se focalisent pas sur chaque instance de partage de ressources Cela permet

aux entreprises drsquoavoir une approche flexible de controcircle drsquoaccegraves

sort pS pfluent PolicySetPermitted(pS) PolicySetDenied(pS) PolicySetNotApplicable(pS)event ApprovePolicySet(pS) event DisApprovePolicySet(pS) event RejectPolicySet(pS)predicate PolicySetHasPolicy(pSp)

forall pS time Initiates (ApprovePolicySet(pS) PolicySetPermitted(pS) time)forall pS time Initiates (DisApprovePolicySet(pS) PolicySetDenied(pS) time)forall pS time Initiates (pejectPolicySet(pS) PolicySetNotApplicable(pS) time)

Combination strategy Deny-takes-precedenceforall pS p time Happens(DisApprovePolicySet(pS)time) rarr exist r PolicySetHasPolicy(pSp) andHoldsAt(PolicyDenied(p)time) (1)

forall pS p time Happens(ApprovePolicySet(pS)time) and PolicySetHasPolicy(pSp) rarr Hold-sAt(pulePermitted(p)time) (2)

forall p not HoldsAt (policySetPermitted(pS)0)forall p not HoldsAt (policySetDenied(pS)0)

Modegravele 9 (Modegravele de PolicySet)

Le modegravele 9 illustre le patron de modeacutelisation drsquoun policySet Comme crsquoest deacutecrit dans les preacute-

dicats (2) et (3) ce modegravele se base sur des strateacutegies de combinaison de politiques agrave savoir des

politiques de partage ainsi que des politiques drsquoentreprise

5331 Politique drsquoentreprise

Pour deacutefinir les politiques drsquoentreprises nous nous sommes baseacutes sur une approche drsquoeacutevaluation

du risque dont de plus amples deacutetails seront preacutesenteacutes dans le chapitre cf Eacutevaluation du risque

107


Dans cette partie nous nous contentons uniquement de preacutesenter les patrons de veacuterification des

politiques drsquoentreprise baseacutees sur le risque Lrsquoideacutee principale du mode opeacuteratoire du controcircle drsquoaccegraves

de lrsquoentreprise via le meacutecanisme de lrsquoeacutevaluation du risque est baseacute sur la comparaison drsquoune valeur

de risque qui reacutesulte drsquoun ensemble de paramegravetres avec un seuil de toleacuterance de risque

Les paramegravetres sur lesquels est baseacutee la meacutetrique drsquoeacutevaluation du risque sont la confiance du

sujet de la requecircte la vulneacuterabiliteacute du contexte et lrsquoimpact drsquoun eacuteventuel accegraves non autoriseacute sur la

ressource en question La meacutetrique de calcul de la valeur du risque ainsi que le choix de paramegravetres

seront deacutetailleacutes dans le chapitre cf Eacutevaluation du risque Quant au seuil du risque crsquoest le paramegravetre

essentiel deacutefini par lrsquoentreprise pour veacuterifier si la menace refleacuteteacutee par une requecircte donneacutee approuveacutee

par une politique de partage existante peut ecirctre toleacutereacutee ou pas

Le modegravele 10 illustre la conception drsquoune politique drsquoentreprise ougrave ces nouveaux paramegravetres lieacutes

au risque sont inteacutegreacutes

sort s p userTrLevel orgTHRpredicate UserTrlevel(userTrLevel)predicate ResourceImpact(impact)predicate Vulnerability(vul)predicate OrganizationRiskThold(orgTHR)

fluent PolicyPermitted(p) PolicyDenied(p) ContextHolds(s)

event ApprovePolicy(p) DisApprovePolicy(p) RiskHolds(s) RiskDoesNotHold(s)

forall p time Initiates (ApprovePolicy(p) PolicyPermitted(p) time) (1)forall p time Initiates (DisApprovePolicy(p) PolicyDenied(p) time) (1rsquo)

forall s time Initiates (RiskHolds(s) ContextHolds(s) time) (2)forall s time Terminates (RiskDoesNotHold(s) ContextHolds(s) time) (2rsquo)

forall s time userTrLevel impact vul orgTHR Happens (RiskHolds(s)time) and User-Trlevel(userTrLevel) and ResourceImpact(impact) and Vulnerability(vul) and OrganizationRisk-Thold(orgTHR)rarr orgTHR ge ((1-userTrLevel)+vul+impact)3 (3)

forall s time userTrLevel impact vul orgTHR Happens (RiskDoesNotHold(s)time) and User-Trlevel(userTrLevel) and OrganizationRiskThold(orgTHR) and ResourceImpact(impact) and Vulnerabi-lity(vul)rarr orgTHR lt ((1-userTrLevel)+vul+impact)3 (4)

forall s p time Happens (ApprovePolicy(p)time)rarr HoldsAt(ContextHolds(s)time) (5)forall s p time Happens (DisApprovePolicy(p)time)rarrnot HoldsAt(ContextHolds(s)time) (5rsquo)

forall s not HoldsAt (PolicyPermitted(s)0)forall s not HoldsAt (PolicyDenied(s)0)forall s not HoldsAt (ContextHolds(s)0)

Modegravele 10 (Politique drsquoentreprise)

Dans ce modegravele de politique drsquoentreprise les variables userTrLevel orgTHR impact et vul re-

preacutesentent respectivement la reacuteputation (confiance) du sujet de la requecircte le seuil de toleacuterance

de lrsquoentreprise par rapport au risque drsquoune requecircte lrsquoimpact provoqueacute dans lrsquoeacuteventualiteacute ougrave la res-

source demandeacutee est compromise et la vulneacuterabiliteacute du contexte drsquoaccegraves Le noyau drsquoune politique

108


drsquoentreprise est la meacutetrique drsquoeacutevaluation du risque deacutefinie agrave travers les axiomes (3) et (4) Ainsi

les eacuteveacutenements essentiels pour ce modegravele de politiques sont RiskHolds et RiskDoesNotHold qui sont

en lrsquooccurrence controcircleacutes par des conditions lieacutees aux paramegravetres que nous avons deacutefinis Ces deux

eacuteveacutenements sont geacutereacutes gracircce aux preacutedicats (2) et (2rsquo) qui deacutependent de la satisfaction des condi-

tions des axiomes (3) et (4) Le preacutedicat (2) permet de changer lrsquoeacutetat du contexte en mettant la

valeur du fluent ContextHolds agrave vrai ce qui signifie que le contexte est valideacute pour la requecircte reccedilue

En revanche agrave lrsquooccurrence de lrsquoeacuteveacutenement RiskDoesNotHold le preacutedicat (2rsquo) met le contexte dans

un eacutetat de non-validation provoquant ainsi lrsquointerdiction de lrsquoaccegraves reacuteclameacute par la requecircte (axiomes

(5rsquo) (1rsquo)) Inversement lrsquoaccegraves est autoriseacute pour la requecircte reccedilue jugeacutee non-risqueacutee par la politique

drsquoentreprise (axiomes (5) (1))

534 Synthegravese

Cette premiegravere partie porte sur le controcircle drsquoaccegraves dans les environnements RSE Nous avons

commenceacute par une repreacutesentation abstraite du modegravele de controcircle drsquoaccegraves dans laquelle nous avons

preacuteciseacute que nous nous sommes baseacutes sur un modegravele ABAC avec une conception drsquoarchitecture inspireacutee

drsquoXACML et ce afin drsquoavoir un modegravele de controcircle drsquoaccegraves flexible en matiegravere de deacutefinition de regravegles

Ensuite nous avons abordeacute la modeacutelisation formelle de notre meacutecanisme de controcircle drsquoaccegraves dans

laquelle nous avons preacutesenteacute les diffeacuterents patrons de conception baseacutes sur la logique temporelle

Event-calculus agrave savoir les regravegles de partage de ressources les politiques de partage et drsquoentreprise

et les policySets qui permettent de combiner les deux niveaux de politiques (sujet et entreprise) Dans

la section suivante nous aborderons une particulariteacute du controcircle drsquoaccegraves lieacutee aux RSEs agrave savoir les

deacuteleacutegations qui consiste en des autorisations temporaires


La deacuteleacutegation est un type de permission qui permet agrave un sujet de deacutefinir des regravegles temporaires au

profit drsquoun autre sujet vis-agrave-vis de certaines ressources Lrsquoavantage de lrsquoutilisation de ce type drsquoautori-

sation reacuteside dans le fait qursquoune deacuteleacutegation est auto-reacutevocable Par conseacutequent la deacuteleacutegation reacuteduit

consideacuterablement lrsquoadministration des regravegles de controcircle drsquoaccegraves dans des perspectives drsquoindispo-

nibiliteacute de sujets qui srsquooccupent des tacircches ne devant pas ecirctre interrompues Prenons un exemple

simple ougrave lrsquoutilisateur Bob doit quitter temporairement sa communauteacute et certaines tacircches de Bob

doivent ecirctre reacutealiseacutees Dans de telles circonstances lrsquoideacuteal serait que Bob puisse deacuteleacuteguer les tacircches

qui doivent ecirctre reacutealiseacutees agrave un autre sujet (un collegravegue par exemple) jusqursquoagrave son retour Par ailleurs

supposons que Bob soit deacutebordeacute et qursquoune date limite drsquoune livraison approche Une bonne solution

pour Bob consiste agrave deacuteleacuteguer ses travaux agrave une autre personne qualifieacutee et ce pour un intervalle de

temps donneacute par exemple la date butoir de la livraison

109


541 Preacutesentation formelle de deacuteleacutegation

La deacuteleacutegation est une forme particuliegravere drsquoautorisation de controcircle drsquoaccegraves Plus preacuteciseacutement le

processus de modeacutelisation du meacutecanisme est plus au moins similaire agrave celui du controcircle drsquoaccegraves

agrave savoir la modeacutelisation des cibles regravegles politiques et policySets En revanche la speacutecificiteacute de

deacuteleacutegation est lieacutee agrave lrsquoaspect temporel ainsi qursquoagrave certaines conditions concernant les deux parties de

deacuteleacutegation agrave savoir le deacuteleacutegant qui deacutelegravegue lrsquoaccegraves agrave une ressource et le deacuteleacuteguataire qui consomme

cette ressource par le biais de lrsquoautorisation deacuteleacutegueacutee

Lrsquoaspect temporel drsquoune regravegle de deacuteleacutegation peut ecirctre consideacutereacute sous deux formes une dureacutee

baseacutee sur des contraintes lieacutees au deacuteleacutegant ou bien pour une dureacutee preacutealablement deacutetermineacutee La

validiteacute de la premiegravere forme de deacuteleacutegation deacutepend de la disponibiliteacute du deacuteleacutegant Dans ce cas une

regravegle de deacuteleacutegation nrsquoest valable que dans le cas ougrave le deacuteleacutegant est hors-ligne ie quitte (temporaire-

ment) la communauteacute de collaboration Dans le cadre de notre conception drsquoOpenPaaS RSE ce type

de deacuteleacutegation concerne uniquement les sujets internes drsquoune entreprise Quant agrave la seconde forme de

deacuteleacutegation baseacutee sur une peacuteriode preacutedeacutefinie elle concerne les sujets externes agrave qui certaines tacircches

drsquoun acteur interne (qui nrsquoest pas en mesure de les accomplir) seront deacuteleacutegueacutees

Une politique de deacuteleacutegation reste similaire agrave une politique de regravegle standard Plus preacuteciseacutement

une politique de deacuteleacutegation est baseacutee sur les mecircmes strateacutegies de combinaison des effets de regravegles

Cependant vu que dans une politique de deacuteleacutegation nous nous focalisons principalement sur le sujet

deacuteleacuteguataire nous avons fait le choix que les politiques soient construites sur la base des regravegles

ayant le mecircme sujet Sachant que la modeacutelisation drsquoune politique de deacuteleacutegation est la mecircme qursquoune

politique de regravegles nous allons dans ce qui suit deacutetailler les deux formes de deacuteleacutegation et preacutesenter

uniquement les modegraveles lieacutes aux regravegles de deacuteleacutegation

5411 Deacuteleacutegation interne

Comme son nom lrsquoindique une deacuteleacutegation ldquointernerdquo implique uniquement les sujets internes agrave une

entreprise en tant que deacuteleacuteguataires agrave travers les autorisations drsquoun deacuteleacutegant eacutegalement interne En

drsquoautres termes une deacuteleacutegation interne est une forme particuliegravere de partage de droits entre collegravegues

appartenant agrave une mecircme entreprise Par exemple pendant son absence James deacutelegravegue agrave sa collegravegue

Alice la tacircche de gestion de deacutemarches de recrutement des eacutetudiants stagiaires tel que Jessy au sein de

la communauteacute collaborative Cependant la supervision sur les deacuteleacutegations drsquoautorisations de la part

de lrsquoentreprise ne doit pas ecirctre neacutegligeacutee Vu qursquoil srsquoagit de sujets internes agrave lrsquoentreprise pour controcircler

les deacuteleacutegations cette derniegravere se contente uniquement de contraintes suppleacutementaires srsquoajoutant aux

regravegles de deacuteleacutegation deacutefinies par les sujets Car la mise en place des regravegles entreprises baseacutees sur le

risque nrsquoest pas vraiment neacutecessaire vu que les paramegravetres drsquoeacutevaluation du risque (confiance vul-

neacuterabiliteacute environnement et impact de ressources) sont censeacutees ecirctre optimaux au sein de la sphegravere

priveacutee de lrsquoentreprise Selon notre point de vue les contraintes de deacuteleacutegation internes concernent

plus le niveau drsquohabilitation du sujet deacuteleacuteguataire Plus preacuteciseacutement chaque sujet peut reacutealiser uni-

quement les tacircches que son niveau drsquohabilitation au sein de son entreprise lui permet de faire et

ce en fonction des politiques internes et subjectives de gestion drsquohabilitation de son entreprise Le

110


principal avantage drsquoun tel mode de deacuteleacutegation est que la dureacutee de deacuteleacutegation est indeacutetermineacutee dans

le temps mais controcircleacutee au moyen de contraintes de disponibiliteacute et drsquohabilitation En outre la deacute-

leacutegation interne permet de simplifier la gestion des regravegles de deacuteleacutegation vu qursquoon est pas obligeacute de

redeacutefinir (mettre agrave jour) la mecircme regravegle de deacuteleacutegation chaque fois qursquoelle arrive au terme de sa dureacutee

preacutedeacutefinie

sort r sfluent DelegRulePermitted(r) fluent DelegRuleDenied(r) fluent DelegRuleNotApplicable(r)fluent DelegRuleInValid(r) fluent IsQualified(s)

event ApproveDelegRule(r) event DisApproveDelegRule(r) event RejectDelegRule(r)

forall r time Initiates (ApproveDelegRule(s) DelegRulePermitted(s) time)forall r time Initiates (DisApproveDelegRule(s) DelegRuleDenied(s) time)forall r time Initiates (RejectDelegRule(s) DelegRuleNotApplicable(s) time)

forall r time s Happens (ApproveDelegRule(r)time)rarrHoldsAt(TargetHolds(r)time) and HoldsAt(IsQualified(s)time) and Hold-sAt(DelegInValid(r)time) (1)

forall r time s Happens (DisApproveDelegRule(s)time)rarrHoldsAt(TargetHolds(s)time) or not HoldsAt(IsQualified(r)time) or HoldsAt(DelegInValid(r)time) (2)

forall r time Happens (RejectDelegRule(r)time)rarr HoldsAt (TargetDoesntHold(r)time)forall r not HoldsAt (DelegInValid(r)0) (3)

Modegravele 11 (Modegravele de regravegle de deacuteleacutegation)

Le modegravele 11 illustre la modeacutelisation formelle de ce type de regravegle de deacuteleacutegation interne Glo-

balement le modegravele est assez similaire agrave celui des regravegles classiques agrave lrsquoexception de deux fluents

speacutecifiques agrave la deacuteleacutegation agrave savoir le fluent DelegRuleInValid et le fluent IsQualified Le fluent

DelegRuleInValid permet drsquoindiquer la validiteacute de lrsquoautorisation de deacuteleacutegation en fonction de la dispo-

nibiliteacute du deacuteleacutegant Par ailleurs quand son eacutetat est agrave vrai le fluent IsQualified signifie que le sujet est

habiliteacute agrave accomplir les tacircches qui lui sont deacuteleacutegueacutees La combinaison des contraintes de disponibiliteacute

et drsquohabilitation se fait gracircce agrave la veacuterification des preacutedicats (1) et (2) pour respectivement autoriser

ou rejeter la requecircte de deacuteleacutegation reccedilue La veacuterification de la contrainte de disponibiliteacute est illustreacutee

sur le modegravele 13 Quand agrave la contrainte drsquohabilitation elle est deacutetailleacutee dans la proceacutedure illustreacutee

sur le modegravele 12

Contrainte drsquohabilitation

Dans le modegravele 12 le niveau drsquohabilitation drsquoun sujet s ainsi que le seuil minimum drsquohabilitation

sont reacutecupeacutereacutes par le CES au moment de la reacuteception de la requecircte depuis le CIS Afin de valider le

niveau drsquohabilitation du sujet lrsquoaxiome (1) veacuterifie si la valeur de lrsquoattribut de confiance du deacuteleacutegua-

taire est supeacuterieure ou eacutegale au seuil deacutefini par lrsquoentreprise proprieacutetaire de la ressource demandeacutee

Inversement lrsquoaxiome (2) ne valide pas lrsquohabilitation du sujet deacuteleacuteguataire

111


sort s userQL orgTHRpredicate UserQualifLevel(userQL) predicate OrganizationThold(orgTHR)fluent IsQualified(s)event QualifHolds(s) event QualifDoesNotHold(s)

forall s time Initiates (QualifHolds(s) IsQualified(s) time)forall s time Terminates (QualifDoesNotHold(s) IsQualified(s) time)

forall s time userQL orgTHR Happens (QualifHolds(s)time) and UserQualifLevel(userQL) and Or-ganizationThold(orgTHR)rarr orgTHR ge userQL (1)

forall s time userQL orgTHR Happens (QualifDoesNotHold(s)time) and UserQualifLevel(userQL)and OrganizationThold(orgTHR)rarr orgTHR lt userQL (2)

forall s not HoldsAt (IsQualified(s)0)

Modegravele 12 (Modegravele de veacuterification drsquohabilitation drsquoun sujet)

Disponibiliteacute du deacuteleacutegant

Dans le modegravele 13 nous veacuterifions la disponibiliteacute drsquoun sujet deacuteleacutegant repreacutesenteacute par la variable

d Pour cela nous nous basons sur lrsquooccurrence des eacuteveacutenements Connect et Disconnect pour changer

lrsquoeacutetat du statut du sujet deacuteleacutegant IsOnLine entre vrai et faux Les preacutedicats (1) et (2) permettent

de changer lrsquoeacutetat de la validiteacute de la regravegle de deacuteleacutegation agrave savoir le fluent DelegInValid Ce dernier

fluent est impliqueacute dans le modegravele principal de veacuterification de la regravegle de deacuteleacutegation (Modegravele 11)

Lrsquooccurrence de lrsquoeacuteveacutenement SuspendDeleg change lrsquoeacutetat du fluent DelegInValid agrave vrai et ainsi suspend

la validiteacute de la regravegle Agrave lrsquoopposeacute lrsquooccurrence de RunDeleg permet de reacutetablir la validiteacute de la regravegle en

changeant le fluent DelegInValid agrave faux Quant aux axiomes (3) et (4) ils permettent respectivement

de (re)suspendre et (re)activer automatiquement lrsquoinstance courante de la regravegle de deacuteleacutegation en

fonction de la disponibiliteacute du sujet deacuteleacutegant ldquodrdquo en question

sort d s

fluent IsOnLine(d) fluent DelegInValid(s)event Connect(d) event Disconnect(d) event RunDeleg(s) event SuspendDeleg(s)

forall d time Initiates(Connect(d) IsOnLine(d) time)forall d time Terminates(Disconnect(d) IsOnLine(d) time)

forall s time Initiates(SuspendDeleg(s) DelegInValid(s) time) (1)forall s time Terminates(RunDeleg(s) DelegInValid(s) time) (2)

forall d s time Happens (SuspendDeleg(s)time)rarr IsOnline(d) (3)forall d s time Happens (RunDeleg(s)time)rarr not IsOnline(d) (4)

forall d time Happens (Connect(d)time)rarr not IsOnline(d)forall d time Happens (Disconnect(d)time)rarr IsOnline(d)

Modegravele 13 (delegator Status Verification model)

112


542 Deacuteleacutegation externe

Une deuxiegraveme maniegravere de concevoir des regravegles de deacuteleacutegation vis-agrave-vis drsquoun deacuteleacuteguataire externe

agrave lrsquoentreprise consiste agrave deacutefinir des permissions valables uniquement pour un intervalle de temps

preacutedeacutefini par le deacuteleacutegant Le modegravele 14 illustre comment une dureacutee de vie drsquoune regravegle est eacutetablie

par rapport agrave un temps drsquoexpiration preacutedeacutefini

sort s tStar t tEnd

fluent DelegInValid(s)

forall s tStar t tEnd Trajectory(DelegRulePermitted(s) tStar t DelegInValid(s) tEnd)

Modegravele 14 (Veacuterification de la dureacutee de la deacuteleacutegation)

Dans le modegravele 14 nous avons deacutefini deux points de temps agrave savoir tStar t et tEnd pour deacutesigner

respectivement le temps drsquoactivation et drsquoexpiration de lrsquoautorisation de deacuteleacutegation Gracircce au preacutedicat

Trajectory quand lrsquoeacutetat du fluent DelegRulePermitted est vrai ce qui signifie que la regravegle est autoriseacutee

pour la premiegravere fois lrsquoeacutetat du fluent DelegInValid prend la valeur vraie apregraves un intervalle de temps

calculeacute agrave base de la somme des deux points de temps de la regravegle ie tStar t + tEnd Par exemple

la dureacutee drsquoune regravegle donneacutee est preacutedeacutefinie agrave 5 uniteacutes de temps Supposons que la regravegle en question

soit activeacutee (autorise lrsquoaccegraves vis-agrave-vis drsquoune requecircte donneacutee) agrave lrsquoinstant 2 Ainsi agrave partir de lrsquoinstant 8

((5+2)+1) la regravegle ne sera plus valable ce qui signifie que la mecircme requecircte preacutealablement autoriseacutee

sera rejeteacutee apregraves lrsquoinstant 7 Le fluent DelegInValid qui est initialiseacute agrave faux au niveau du modegravele 11

(axiome (3)) et ce pour chaque nouvelle instance de regravegle de deacuteleacutegation Tant que lrsquoeacutetat de ce fluent

reste agrave faux la regravegle de deacuteleacutegation reste valide

543 Application des modegraveles sur lrsquoexemple de motivation

Le modegravele 15 illustre lrsquoinstance de regravegle DelegAlice1 du sceacutenario dans lequel James deacutelegravegue agrave

Alice les droits de gestion des recrutements des stagiaires

r DelegAlice1

forall s o a d time Happens(Match(DelegAlice1)time) rarr s = Aliceand o=Calendar and a=PUT and d=James and ruleState=Activated not Hold-sAt(DelegInValid(DelegAlice1)time) (1)

forall s o a d time Happens(MisMatch(DelegAlice1)time)rarr s 6= Aliceor o 6= Calendar or a 6= PUT or d 6= James or ruleState 6=Activated or Hold-sAt(DelegInValid(DelegAlice1)time) (2)

Modegravele 15 (Instance drsquoune regravegle de deacuteleacutegation baseacutee sur la dureacutee de validiteacute)

Dans cette instance de regravegle des valeurs sont assigneacutees aux attributs de la regravegle de deacuteleacutegation

agrave savoir ceux de la cible (s Sujet o Objet a Action) ainsi que le deacuteleacutegant d Avant la phase de

raisonnement sur la regravegle de deacuteleacutegation les attributs de la requecircte drsquoAlice seront accompagneacutes par

113


lrsquoinformation concernant lrsquoidentiteacute du deacuteleacutegant en lrsquooccurrence James En outre la validiteacute de la regravegle

est exprimeacutee gracircce au fluent DelegInValid dont lrsquoeacutetat doit ecirctre agrave faux pour que la regravegle soit valide

Ainsi pour que Alice puisse consommer ses droits deacuteleacutegueacutes drsquoabord il faut que lrsquoensemble de tous

les attributs de sa requecircte correspondent agrave ceux de la regravegle DelegAlice1 En plus la regravegle DelegAlice1

doit ecirctre valide au moment ougrave la requecircte a lieu (axiome (1)) Si un des attributs ne correspond pas

ou la validiteacute de la requecircte arrive agrave terme la requecircte sera par conseacutequent rejeteacutee (axiome (2))

55 Conclusion

Dans ce chapitre nous avons preacutesenteacute notre contribution concernant lrsquoaspect gestion du controcircle

drsquoaccegraves dans les environnements collaboratifs heacuteteacuterogegravenes drsquoOpenPaaS RSE Nous avons commenceacute

par la repreacutesentation abstraite de notre modegravele de controcircle drsquoaccegraves conccedilu sur la base drsquoun modegravele

ABAC qui reacutepond agrave nos besoins exprimeacutes dans la probleacutematique Nous avons par ailleurs illustreacute et

deacutetailleacute une vision architecturale de notre framework de controcircle drsquoaccegraves Ensuite nous avons abordeacute

la repreacutesentation formelle utiliseacutee pour la mise en œuvre de notre modegravele de politique en lrsquooccur-

rence une formalisation logique du modegravele XACML baseacutee sur la logique temporelle Event-Calculus

Enfin nous avons abordeacute une particulariteacute du controcircle drsquoaccegraves lieacutee agrave notre contexte RSE agrave savoir la

deacuteleacutegation qui consiste principalement agrave associer un contexte temporel agrave une autorisation drsquoaccegraves

Nous avons consideacutereacute la deacuteleacutegation sous deux diffeacuterents formes agrave savoir les deacuteleacutegations internes et

les deacuteleacutegations externes Nous avons baseacute notre deacutefinition de la deacuteleacutegation interne sur un cloisonne-

ment intra-entreprise et des contraintes de disponibiliteacute du deacuteleacutegant et de niveau drsquohabilitation du

deacuteleacuteguataire Quant agrave la deacuteleacutegation externe elle deacutepasse les frontiegraveres de lrsquoentreprise dans le sens ougrave

elle est principalement baseacutee sur une peacuteriode de validiteacute preacute-eacutetablie au moment de la deacutefinition de

lrsquoautorisation Elle est en outre confronteacutee agrave des politiques plus avanceacutees impliquant des politiques

de partage simples deacutefinies par les sujets et les politiques de lrsquoentreprise qui sont baseacutees sur une eacuteva-

luation du risque de de la confiance Dans les deux chapitres suivants nous aborderons les questions

sur la conception deacutetailleacutee des composants cleacutes drsquoune politique entreprise agrave savoir la gestion du

risque et de la confiance numeacuterique

114

Chapitre 6

Gestion du risque

Sommaire

61 Introduction 113

62 Contexte 113






643 Discussion 122

65 Conclusion 123

61 Introduction

Dans ce chapitre nous allons preacutesenter notre meacutetrique drsquoeacutevaluation du risque drsquoune requecircte de

demande drsquoaccegraves Cette meacutetrique est le principal fondement de notre modeacutelisation des politiques

entreprises Nous allons en premier lieu briegravevement rappeler le contexte et la motivation qui nous

ont orienteacutes vers une conception drsquoun modegravele de controcircle drsquoaccegraves dynamique baseacute sur la gestion du

risque Ensuite nous parlerons du principe drsquoalignement des concepts standards de gestion du risque

avec ceux du controcircle drsquoaccegraves et les environnements collaboratifs RSE Nous finirons avec une eacutetude

expeacuterimentale qui illustre lrsquoapport du meacutecanisme de gestion du risque en matiegravere de deacutecision de


62 Contexte

Notre principale motivation derriegravere la volonteacute drsquoavoir un meacutecanisme de controcircle drsquoaccegraves dy-

namique pour la gestion des autorisations au sein des communauteacutes OpenPaaS est le partage user-

centric ie baseacute sur le sujet de la collaboration En effet nous consideacuterons qursquoil est important que les

115

Chapitre 6 Gestion du risque

entreprises puissent garder le controcircle sur leurs ressources partageacutees par leur personnel (acteurs)

Une solution possible est la mise en place de regravegles entreprise qui font office drsquoexception pour les

regravegles de partage et ce pour chaque nouvelle regravegle ie agrave chaque partage de ressource Cependant

comme il srsquoagit drsquoun environnement ubiquitaire (freacutequence eacuteleveacutee de partage) lrsquoencadrement des

regravegles de partage par lrsquoentreprise ne peut pas se faire agrave une granulariteacute aussi fine Le controcircle doit se

faire drsquoune maniegravere plus abstraite via un meacutecanisme geacuteneacuterique qui prend comme paramegravetres drsquoen-

treacutee les attributs de la cible de la requecircte de demande drsquoaccegraves Ainsi lrsquoobjectif consistera agrave veacuterifier

si une politique de partage est adapteacutee agrave la requecircte reccedilue agrave lrsquoinstant de reacuteception de cette derniegravere

En drsquoautres termes cela permet de remettre en cause les politiques utilisateurs qui peuvent ecirctre mal

deacutefinies obsolegravetes voire mecircme non-autoriseacutees (cas drsquoune usurpation drsquoidentiteacute) Ainsi la question

est de savoir comment traiter les attributs drsquoune cible drsquoune requecircte afin de mesurer les eacuteventuelles

menaces et leurs impacts au sein drsquoune communauteacute qui ne peut ecirctre sans vulneacuterabiliteacutes

Par ailleurs le cadre RSE preacutesente une autre speacutecificiteacute qui est la coproprieacuteteacute de ressources Car

concregravetement degraves lors qursquoune ressource est partageacutee elle devient en reacutealiteacute la proprieacuteteacute de tous les

acteurs qui la partagent Ainsi il est important de prendre en consideacuteration cette notion de proprieacuteteacute

Enfin il est eacutegalement inteacuteressant de prendre en consideacuteration lrsquoheacuteteacuterogeacuteneacuteiteacute des communauteacutes

en matiegravere de gestion des identiteacutes et de lrsquoauthentification En effet dans notre gestion de lrsquoauthen-

tification dans OpenPaaS RSE chaque entreprise peut garder son meacutecanisme (protocole) drsquoauthen-

tification Ainsi vu que les meacutecanismes drsquoauthentification ne reflegravetent pas tous la mecircme robustesse

en matiegravere de fiabiliteacute dans la certification des identiteacutes numeacuteriques cela peut ecirctre consideacutereacute comme

une vulneacuterabiliteacute du systegraveme de controcircle drsquoaccegraves vu qursquoil se base sur des identiteacutes authentifieacutees Par

conseacutequent prendre en consideacuteration la fiabiliteacute du meacutecanisme drsquoauthentification peut contrebalan-

cer ces vulneacuterabiliteacutes dues agrave la volonteacute de preacuteservation du meacutecanisme drsquoauthentification pour chaque

entreprise

Dans ce sens nous proposons drsquoameacuteliorer les meacutecanismes de controcircle drsquoaccegraves classiques gracircce

une approche baseacutee sur lrsquoeacutevaluation du risque refleacuteteacute par les requecirctes de demande drsquoaccegraves En mixant

les meacutetriques standards drsquoeacutevaluation du risque avec les concepts fondamentaux du controcircle drsquoaccegraves

on peut offrir une solution aux entreprises qui leur permette de rejeter certaines requecirctes consideacutereacutees

comme suspectes ou pas assez fiables Cela se fait au moyen drsquoun seuil minimum de toleacuterance de

risque deacutefini par lrsquoentreprise La meacutetrique drsquoeacutevaluation du risque avec le seuil de lrsquoentreprise consti-

tuent les principaux composants des politiques entreprises qui se mixent agrave celles des utilisateurs au

niveau du PolicySet

63 Meacutetrique drsquoeacutevaluation du risque

Le NIST 56 deacutefinit le risque comme eacutetant la probabiliteacute drsquoune menace et son impact sur le sys-

tegraveme [151] Afin de mener agrave bien notre approche de formalisation du risque nous avons drsquoabord

besoin drsquoaligner les concepts du risque avec ceux du controcircle drsquoaccegraves et le contexte RSE Nous consi-

56 National Institue of Standards and Technology http wwwnistgov

116


deacuterons le cas drsquoun attaquant qui vole des informations sensibles (ie menace) agrave travers une in-

terface compromise (ie la vulneacuterabiliteacute) qui conduit agrave des pertes concernant lrsquoimage (la reacutepu-

tation) de lrsquoentreprise (ie impact) Dans ce sens lrsquoeacutevaluation du risque se reacutesume agrave la formule


Lrsquoimpact drsquoun accegraves non autoriseacute est eacutetroitement lieacute agrave la ressource demandeacutee Eacutetant donneacute que

certaines ressources sont plus importantes ou sensibles que drsquoautres elles neacutecessitent davantage de

vigilance pour leur protection En outre certaines actions sur une ressource peuvent aussi avoir des

conseacutequences plus graves que drsquoautres En effet une information tregraves confidentielle ne doit pas ecirctre

facile drsquoaccegraves mecircme en lecture Dans le mecircme sens un rapport public peut ecirctre facilement consul-

table (ie lecture) neacuteanmoins il ne doit ecirctre ni modifieacute ni effaceacute par un accegraves non autoriseacute Par

conseacutequent dans notre approche nous proposons drsquoeacutevaluer lrsquoimpact du risque en eacutevaluant lrsquoimpor-

tance de la ressource et les conseacutequences que peut avoir lrsquoaction deacutesireacutee sur cette ressource

Les vulneacuterabiliteacutes conduisant agrave un accegraves non autoriseacute dans une communauteacute RSE sont geacuteneacute-

ralement dues agrave un meacutecanisme drsquoauthentification qui peut ecirctre trompeacute (ie deacutefaillant) En effet

si lrsquoidentiteacute de lrsquoutilisateur effectuant la requecircte ne peut pas ecirctre garantie il existe un risque que

lrsquoutilisateur soit un usurpateur En reacutealiteacute certains meacutecanismes drsquoauthentification sont plus sucircrs que

drsquoautres Une identification en deux eacutetapes par exemple est plus difficile agrave tromper qursquoune simple

connexion par mot de passe Mais imposer un meacutecanisme drsquoauthentification fort et eacuteventuellement

coucircteux comme lrsquoauthentification biomeacutetrique agrave tous les utilisateurs nrsquoest ni recommandeacute ni eacutevident

notamment dans un contexte heacuteteacuterogegravene comme le RSE

Concernant la menace elle eacutemane directement du sujet de la requecircte En effet crsquoest lrsquoaction du

sujet qui peut geacuteneacuterer lrsquoeacuteveacutenement et ses conseacutequences et ce drsquoune maniegravere volontaire (ie attaque)

ou involontaire (ie erreur) Par conseacutequent pour eacutevaluer la probabiliteacute drsquoune attaque nous propo-

sons drsquoeacutevaluer la fiabiliteacute drsquoun utilisateur Par exemple le systegraveme ne doit pas ecirctre aussi indulgent

avec les utilisateurs qui essaient souvent drsquoacceacuteder aux ressources non autoriseacutees qursquoavec ceux qui

ont un comportement exemplaire

Nous rappelons que le principal objectif derriegravere lrsquoeacutevaluation du risque consiste agrave trouver une meacute-

trique optimale qui permette de deacutefinir les politiques abstraites drsquoentreprise En effet nous consideacute-

rons drsquoune part que le RSE est tregraves dynamique en matiegravere drsquoajoutsuspension drsquoutilisateursressourcescommunauteacutes et que drsquoautre part une entreprise nrsquoest pas en mesure de connaicirctre en temps reacuteel les

informations sur toutes les entiteacutes au sein des diffeacuterentes communauteacutes ougrave ses utilisateurs sont impli-

queacutes et ses ressources sont deacuteployeacutees Par conseacutequent nous proposons que lrsquoeacutevaluation du risque se

fasse au moyen drsquoun meacutecanisme commun et centraliseacute au niveau de chaque communauteacute et que les

entreprises deacutefinissent un seuil de toleacuterance de risque en dessous duquel toutes les requecirctes seront

rejeteacutees Crsquoest de cette maniegravere que dans notre systegraveme les entreprises gardent le controcircle sur les

deacutecisions eacutetablies par un meacutecanisme deacuteleacutegueacute de controcircle drsquoaccegraves sur leurs ressources

117


631 Deacutefinitions

Dans cette section nous allons formaliser les concepts preacuteceacutedemment deacutefinis agrave savoir Vulneacutera-

biliteacute Menace et Impact En outre nous montrerons comment nous eacutevaluons le risque en utilisant

des attributs drsquoune cible de requecircte de demande drsquoaccegraves avec le contexte

Definition 1 (Impact) Lrsquoimpact deacutepend de lrsquoaction demandeacutee sur une ressource donneacutee agrave travers la

requecircte reccedilue Plus la ressource est importante plus lrsquoimpact sera eacuteleveacute Nous consideacuterons qursquoune ressource

est importante lorsque le nombre drsquoautorisations deacutefinies sur cette ressource est reacuteduit Par conseacutequent

pour une requecircte ldquoreqprimeprime qui implique lrsquoutilisateur ldquouprimeprime la ressource ldquor primeprime et lrsquoaction ldquoaprimeprime nous calculons

la moyenne du nombre de regravegles qui approuvent lrsquoopeacuteration drsquoaccegraves ldquoaprimeprime sur la ressource ldquor primeprime agrave lrsquoeacutegard de

tous les utilisateurs de la communauteacute en question

Impact(a r) = 1minussum

uisinUser Polic y(u a r)Card(User)

(61)

Avec

User lrsquoensemble des utilisateurs de la communauteacute

a isin Action lrsquoensemble des actions (ie R W X)

r isin Resource lrsquoensemble de ressources de la communauteacute

Pol ic y les deacutecisions de politiques de controcircle drsquoaccegraves (accept=1 re jec t=0)

Card(User) le nombre des utilisateurs de la communauteacute

Nous prenons lrsquoopposeacute de la moyenne eacutetant donneacute que lrsquoimpact baisse quand le nombre drsquoutili-

sateurs ayant accegraves agrave la ressource en question augmente

Definition 2 (Vulneacuterabiliteacute) Une vulneacuterabiliteacute deacutepend de la fiabiliteacute du meacutecanisme drsquoauthentification

implanteacute au niveau de la communauteacute En effet nous consideacuterons que les meacutecanismes drsquoauthentifica-

tion existant ne sont pas sans failles de seacutecuriteacute et par conseacutequent peuvent ecirctre trompeacutes Par ailleurs

lrsquoefficaciteacute des meacutecanismes drsquoauthentification deacutepend du contexte drsquoutilisation De plus agrave notre connais-

sance il n y a pas de standard qui classe les meacutecanismes drsquoauthentification existant par lrsquoordre de leur

robustesse Par conseacutequent nous consideacuterons le classement des meacutecanismes drsquoauthentification comme

eacutetant un paramegravetre subjectif qui deacutepend des termes du contrat de feacutedeacuteration entre les entreprises dans le

cadre de la communauteacute en question Dans les expeacuterimentations (section 63) eacutelaboreacutees dans le cadre de

cette thegravese nous nous sommes baseacutes sur le classement (subjectif) croissant suivant Auth = Guest PIN

Loginpassword OAuth 2 Step Validation Biometric Par conseacutequent nous attribuons agrave chaque meacute-

canisme drsquoauthentification un score qui repreacutesente le niveau robustesse Ainsi pour une requecircte donneacutee

req

118


Vulnerabil i t y(req) = Score(AC) (62)

Avec

C la communauteacute ougrave la requecircte req est eacutetablie

AC le meacutecanisme drsquoauthentification C

Score Authrarr [0 1] the strength level of AC

Notons que les scores sont eacutegalement subjectifs et sont deacutefinis par le creacuteateur de la communauteacute

Un exemple de score est illustreacute dans la table 61

Definition 3 (Menace) La menace deacutepend de la confiance du sujet agrave lrsquoorigine de la requecircte en fonction

de lrsquoeacutevaluation de sa reacuteputation sur la base de son historique drsquointeractions au sein de la communauteacute

Plus la confiance de lrsquoutilisateur est eacuteleveacutee moins le risque sera eacuteleveacute Comme la valeur de confiance drsquoun

utilisateur appartient agrave lrsquointervalle ]01[ nous interpreacutetons cela par la formule suivante

Threat(u) = 1minus Trust(u) (63)

Avec

Threat la menace

Trust la confiance numeacuterique du sujet

u le sujet

Avec notre meacutecanisme drsquoeacutevaluation de risque nrsquoimporte quelle meacutetrique drsquoeacutevaluation de confiance

peut ecirctre facilement inteacutegreacutee Cependant dans le cadre de cette thegravese nous nous basons sur le meacute-

canisme drsquoeacutevaluation de reacuteputation que nous avons proposeacute et qui sera preacutesenteacute dans le chapitre


Definition 4 (Risque) Dans notre contexte nous avons testeacute plusieurs formules de combinaison des

paramegravetres preacuteceacutedents Nous avons fini par choisir une approche lineacuteaire vu les performances qui en

reacutesultent Ces reacutesultats sont deacutetailleacutes dans la section (63) expeacuterimentation En outre dans certains

contextes il est possible qursquoun paramegravetre soit plus important qursquoun autre crsquoest pourquoi nous avons

utiliseacute des coefficients pour parameacutetrer cette importance sachant que tous les coefficients (ou poids) sont

par deacutefaut eacutegaux agrave 1

119


Risk(req) =kv times V (C) + kt times T (u) + ki times I(a r)

kv + kt + ki(64)

Avec

V la vulneacuterabiliteacute et son coefficient kv


T la menace et son coefficient kt

u le sujet de la requecircte req

I lrsquoimpact et son coefficient ki

a lrsquoaction demandeacutee agrave travers la requecircte req

Dans notre cas nous consideacuterons que lrsquoimpact de compromettre une ressource est plus important

que les autres paramegravetres Ainsi nous lui avons attribueacute le poids 3 compareacute agrave 1 pour les autres

paramegravetres Lrsquoutiliteacute de la pondeacuteration peut ecirctre constateacutee agrave partir de la figure 61 Dans ce graphique

nous avons fixeacute la vulneacuterabiliteacute au niveau maximum 1

FIGURE 61 ndash Les valeurs du risque pour une pondeacuteration 311 et une vulneacuterabiliteacute maximale

Seuil de toleacuterance du risque

Une entreprise gegravere ses politiques au sein drsquoune communauteacute drsquoune maniegravere autonome au moyen

drsquoun seuil maximal de toleacuterance du risque des requecirctes drsquoacteurs externes Ainsi pour deacuteterminer

le seuil une entreprise peut opter pour un meacutecanisme comme Cost (coucirct) [47] ou lrsquoeacutevaluation des

dommages (damages) [154 143] Il existe mecircme des travaux qui traitent les problegravemes de deacutefinition

de seuil dynamique et adaptatif comme [42 41] Dans le cadre de cette thegravese nous nrsquoavons pas

abordeacute ce challenge

Conformeacutement agrave nos objectifs notre approche nous permet de prendre en compte des informa-

tions suppleacutementaires pour eacutevaluer la probabiliteacute de

120

64 Expeacuterimentation

bull lrsquousurpation drsquoidentiteacute comme dans lrsquoexemple de motivation 2 agrave travers la menace que reflegravete

lrsquoacteur en question (cf(ex2) section Exemple de motivation chapitre Probleacutematique et

motivations)

bull lrsquoimportance de la ressource comme dans lrsquoexemple de motivation 3 agrave travers lrsquoImpact Ce qui

permet par ailleurs de tenir compte de la sensibiliteacute dynamique drsquoune ressource collaborative

(cf(ex3) section Exemple de motivation chapitre Probleacutematique et motivations)

bull les failles des infrastructures de seacutecuriteacute comme dans lrsquoexemple de motivation 4 gracircce agrave la

Vulneacuterabiliteacute (cf(ex4) section Exemple de motivation chapitre Probleacutematique et motiva-

tions)


Nous avons effectueacute diffeacuterentes expeacuterimentations pour valider notre approche En raison drsquoun

manque de donneacutees de sceacutenarios reacuteels nous avons drsquoabord simuleacute des requecirctes drsquoaccegraves et nous

avons calculeacute la valeur du risque de chacune de ces requecirctes pour voir lrsquoinfluence de notre approche

sur un systegraveme de controcircle drsquoaccegraves existant

641 Impleacutementation

Tout drsquoabord nous geacuteneacuterons un ensemble de politiques de controcircle drsquoaccegraves pour cinquante utili-

sateurs diffeacuterents sur cinquante ressources diffeacuterentes Nous avons seacutelectionneacute les trois actions cou-

ramment utiliseacutees agrave savoir ldquoLirerdquo ldquoEacutecrirerdquo et ldquoExeacutecuterrdquo Les trois opeacuterations lire eacutecrire et exeacutecuter

sont geacuteneacutereacutees respectivement avec les proportions suivantes 0703 04 Notez que cette distribu-

tion est agrave lrsquoimage de plusieurs cas drsquousage de notre partenaire Brake France 57 du projet OpenPaaS

RSE

Deuxiegravemement nous deacutefinissons six meacutethodes drsquoauthentification diffeacuterentes Ensuite tel que

deacutefini dans Deacutefinition 2 nous attribuons un niveau de vulneacuterabiliteacute agrave chacune drsquoelles Nous illustrons

dans le tableau 61 ces diffeacuterentes meacutethodes et leurs valeurs de vulneacuterabiliteacute respectives Nous avons

consideacutereacute que derriegravere chaque requecircte entrante il y une identiteacute drsquoun acteur approuveacutee par lrsquoun de

ces meacutecanismes drsquoauthentification Nous convenons que lrsquoattribution drsquoun niveau 0 de vulneacuterabiliteacute

agrave une authentification biomeacutetrique est controverseacutee 58 mais nous avons fait cela uniquement dans

le but drsquoillustrer le comportement de notre meacutetrique drsquoeacutevaluation du risque dans le cadre de nos

expeacuterimentations

Enfin nous geacuteneacuterons aleacuteatoirement 1500 requecirctes de demande drsquoaccegraves diffeacuterentes Chaque re-

quecircte correspond agrave un tuple de 4 attributs agrave savoir utilisateur ressource action meacutethode drsquoau-

thentification Essentiellement nous nous sommes baseacutes sur quatre sceacutenarios 10 de rejets baseacutes

sur les politiques (fig 62) 15 (figure 63) 20 (figure 64) et 25 (figure 65) Cela nous

permet de comparer le comportement de notre systegraveme de gestion du risque et son influence sur les

57 Brake France est une chaine de distribution de produits alimentaires qui a pour rocircle dans le projet de tester laplateforme du reacuteseau social

58 httpwwwnet-securityorgsecworldphpid=8922

121


TABLE 61 ndash Meacutethodes drsquoauthentification et leurs niveaux de vulneacuterabiliteacute

Nom Description VulneacuterabiliteacuteNone Not authenticated user 10PIN Pin Code 08L+P Login and Password 06OAuth OAuth service 042F Two factors 02Bio Biometric 00

deacutecisions du meacutecanisme de controcircle drsquoaccegraves dans diffeacuterents sceacutenarios De plus pour chacun de ces

sceacutenarios nous avons calculeacute le risque avec deux pondeacuterations agrave savoir avec une pondeacuteration de

111 (sur la gauche de chaque diagramme) et avec une pondeacuteration de 311 (sur la droite)

pour respectivement lrsquoimpact la vulneacuterabiliteacute et la menace La deuxiegraveme pondeacuteration permet drsquoatteacute-

nuer lrsquoeffet de notre geacuteneacuteration aleacuteatoire car elle met lrsquoaccent sur la valeur de lrsquoimpact (qui deacutepend

des politiques)

Ainsi pour chaque requecircte nous avons une valeur de menace donneacutee une valeur de vulneacuterabiliteacute

donneacutee et une valeur drsquoimpact (calculeacutee agrave base des politiques geacuteneacutereacutees) Nous supposons que chaque

demande est drsquoabord eacutevalueacutee par la politique de controcircle drsquoaccegraves pour voir si elle doit ecirctre accepteacutee

ou pas Ensuite nous proceacutedons agrave la deuxiegraveme phase de deacutecision baseacutee sur lrsquoeacutevaluation du risque de

la requecircte en question qui est compareacute au seuil de toleacuterance de lrsquoentreprise Dans ce qui suit nous

deacutecrivons les reacutesultats obtenus

642 Reacutesultats

Nous voulons eacutevaluer lrsquoinfluence de notre systegraveme sur une politique de controcircle drsquoaccegraves existante

Ainsi lrsquoideacutee est de voir le taux additionnel de requecirctes qui seront rejeteacutees par la valeur du risque

compareacutee au seuil Pour cela nous avons fait des tests par rapport agrave diffeacuterents seuils de risque Par

ailleurs une autre information inteacuteressante est la coheacuterence des risque-rejets Plus preacuteciseacutement nous

allons observer le taux de requecirctes qui seront rejeteacutees par la politique et le seuil de risque

Les reacutesultats de notre simulation sont preacutesenteacutes sous forme de barres empileacutees et ce par rapport

agrave diffeacuterents seuils allant de 04 agrave 09 Les figures doivent ecirctre lues de la sorte

bull Gris clair (la partie infeacuterieure de chaque barre) la proportion des requecirctes rejeteacutees agrave base

des politiques ie Polic y = Re ject Risk = Acceptbull Gris fonceacute (la partie intermeacutediaire de chaque barre) la proportion des rejets coheacuterents

entre les requecirctes rejeteacutees par la politique et celles par le seuil du risque ie Polic y =Re ject Risk = Re ject

bull Gris normal (la partie supeacuterieure de chaque barre) la proportion des requecirctes rejeteacutees agrave

cause du seuil du risque ie Polic y = Accept Risk = Re jectDans la figure 62 ougrave le taux de rejet par les politiques est de 10 lrsquoinfluence du seuil de risque

122


000

1000

2000

3000

4000

5000

6000

04 05 06 07 08 09Policy-based rejects Coherent rejects Risk-based rejects

000

1000

2000

3000

4000

5000

6000


FIGURE 62 ndash Le ratio des requecirctes rejeteacutees par rapport agrave diffeacuterents seuils de risque pour une basede 10 de rejet par les politiques de controcircle drsquoaccegraves

est significative seulement pour un seuil consideacuterablement bas agrave savoir 40 de rejets pour un seuil

de 04 Cependant avec un seuil plus eacuteleveacute le meacutecanisme drsquoeacutevaluation du risque ne rejette plus

beaucoup de requecirctes Le second sceacutenario avec une pondeacuteration focaliseacutee sur lrsquoimpact fait eacutegalement

ressortir cette observation Nous constatons en outre que la pondeacuteration reacuteduit significativement le

taux de rejets par rapport au sceacutenario non pondeacutereacute seulement 7 pour le seuil de 04

000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000



Dans la figure 63 le taux de rejet par les politiques est de 15 Compareacute au sceacutenario preacuteceacutedent

lrsquoinfluence du risque est plus importante agrave peu pregraves 45 des requecirctes rejeteacutees par le seuil 04 De

plus plus le seuil du risque monte plus de requecirctes sont rejeteacutees Concernant la coheacuterence elle

est eacutegalement plus importante que dans le sceacutenario preacuteceacutedent Nous remarquons par ailleurs que

la deuxiegraveme pondeacuteration reacuteduit le taux global de rejet de requecirctes par le meacutecanisme du risque en

plus elle donne davantage de coheacuterence entre les taux de rejet politiques-risque que dans la figure

Fig 62

Dans la figure 64 le taux de refus de requecirctes srsquoeacutelegraveve agrave 20 Dans cette configuration lrsquoinfluence

du risque srsquoamplifie par rapport aux preacuteceacutedentes configurations (Fig 62 et Fig 63) environ 50 de

123


000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000



requecirctes non-valideacutees par le seuil 04 de risque De plus nous remarquons que lrsquoinfluence du risque

srsquoeacutetale jusqursquoau seuil 07 et ce avec les deux pondeacuterations Par ailleurs la coheacuterence est plus impor-

tante que preacuteceacutedemment Cela est encore plus flagrant dans le sceacutenario pondeacutereacute ougrave nous remarquons

que les deacutecisions baseacutees sur les politiques et celles sur le risque sont davantage coheacuterentes

Pour terminer la figure 65 illustre le cas ougrave 25 des requecirctes sont rejeteacutees par les politiques de

controcircle drsquoaccegraves Cette figure montre en outre le taux de refus le plus eacuteleveacute (environ 52) parmi les

4 configurations Nous constatons toujours que drsquoune part lrsquoeffet du risque continue agrave augmenter

et ce mecircme pour des seuils eacuteleveacutes et drsquoautre part la coheacuterence est globalement en augmentation

Cependant contrairement aux sceacutenarios preacuteceacutedents dans la figure 65 le meacutecanisme du risque conti-

nue agrave rejeter des requecirctes mecircme avec un seuil de 08 Par ailleurs agrave lrsquoimage de la figure 64 avec

la pondeacuteration de lrsquoimpact la figure 65 montre eacutegalement plus de coheacuterence entre les deacutecisions

politiques-risque

000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000



124


643 Discussion

Notre analyse des reacutesultats agrave travers les diffeacuterentes figures preacuteceacutedentes nous a permis de tirer les

conclusions suivantes

bull Moins le taux de rejets par les politiques est important moins le risque sera influent Ainsi

pour les systegravemes ougrave il est connu agrave lrsquoavance que le taux de requecirctes qui seront rejeteacutees par les

politiques de controcircle drsquoaccegraves sera faible le meacutecanisme de risque nrsquoapportera pas une grande

influence En revanche pour les environnements ouverts tels que les reacuteseaux sociaux ougrave le

nombre de requecirctes rejeteacutees est souvent susceptible drsquoecirctre consideacuterablement eacuteleveacute lrsquoinfluence

du meacutecanisme drsquoeacutevaluation de risque est bien plus preacutesente ie globalement il y a plus

de requecirctes rejeteacutees agrave cause du risque qursquoelles repreacutesentent et ce mecircme pour des seuils de

risque eacuteleveacutes Cela srsquoexplique par la consideacuteration de lrsquoimportance (sensibiliteacute) des ressources

collaboratives Car plus une ressource est confidentielle moins drsquoacteurs seront autoriseacutes agrave y

acceacuteder et par conseacutequent plus de requecirctes seront rejeteacutees agrave son eacutegard

bull Lrsquoobservation preacuteceacutedente est accentueacutee avec la pondeacuteration qui donne plus drsquoimportance agrave la

valeur de lrsquoimpact des ressources par rapport aux reste des paramegravetres agrave savoir la menace

et la vulneacuterabiliteacute Car nous avons remarqueacute que lrsquoaugmentation des rejets dus au risque est

plus importante dans les systegravemes ougrave le taux de rejets par les politiques est plus eacuteleveacute Par

ailleurs la pondeacuteration ameacuteliore eacutegalement la coheacuterence entre les deacutecisions politiques-risque

Cela signifie que dans la formule pondeacutereacutee les deacutecisions baseacutees sur le risque sont conformes

agrave celles prises agrave base des politiques

Ces observations nous conduisent agrave conclure que notre systegraveme se comporte comme espeacutereacute Le

risque srsquoadapte bien au comportement du systegraveme baseacute sur politiques de controcircle drsquoaccegraves deacutefinies

par les acteurs de la communauteacute En drsquoautres termes il est plus prudent pour une entreprise drsquoecirctre

davantage sur ses gardes dans des environnements ougrave il est assez freacutequent que des acteurs externes

tentent des accegraves illeacutegaux aux ressources partageacutees

De plus lrsquoinfluence globale de lrsquointroduction de la meacutetrique de risque semble correcte tant que

les seuils du risque restent raisonnables Par cela nous voulons dire que notre systegraveme ne va pas

brusquement rejeter une grande quantiteacute de requecirctes Cela semble coheacuterent avec le cas reacuteel ougrave

en geacuteneacuteral une organisation fait confiance agrave ses utilisateurs pour lrsquoeacutetablissement des politiques de

partage de ressources collaboratives et nrsquointervient seulement que dans les cas les plus critiques ie

deacutetection de menaces importantes

Pour conclure les expeacuterimentations avec la formule pondeacutereacutee de risque montre la coheacuterence de la

meacutetrique de risque que nous avons deacutefinie avec nos objectifs de seacutecuriteacute La coheacuterence des deacutecisions agrave

base du risque augmente par rapport aux deacutecisions agrave base de politique drsquoune maniegravere proportionnelle

agrave la pondeacuteration qui a pour objectif lrsquoatteacutenuation des paramegravetres aleacuteatoires des politiques produites

pour nos expeacuterimentations

125


65 Conclusion

Dans ce chapitre nous avons proposeacute une meacutetrique de risque destineacutee agrave ameacuteliorer les perfor-

mances en matiegravere drsquoefficaciteacute de filtrage de requecirctes malveillantes des meacutecanismes classiques de


Cette meacutetrique drsquoeacutevaluation du risque peut en effet ecirctre utiliseacutee par dessus de nrsquoimporte quel autre

meacutecanisme de controcircle drsquoaccegraves Notre approche est adapteacute aux environnements RSE car elle permet

aux entreprises de deacuteleacuteguer la deacutefinition des politiques de controcircle drsquoaccegraves agrave ces utilisateurs (user-

centric approach) tout en gardant le controcircle sur ces derniegraveres drsquoune maniegravere efficace dynamique et

abstraite

En se basant sur les meacutethodologies standards de la gestion du risque nous avons deacutefini notre

approche sur la base de trois paramegravetres qui tiennent compte des aspects suivants lrsquoimpact de la

ressource demandeacutee la menace de la requecircte reccedilue et la vulneacuterabiliteacute de lrsquoenvironnement collaboratif

en question Ajoutant agrave cela un seuil et permet lrsquoentreprise qui heacuteberge la ressource demandeacutee de

rejeter certaines requecirctes jugeacutees de sources malveillantes

Nous avons deacutefini de maniegravere formelle les deux paramegravetres neacutecessaires agrave notre gestion du risque

agrave savoir lrsquoimpact et la vulneacuterabiliteacute Le premier reflegravete lrsquoimportance de la ressource agrave travers le nombre

drsquoautorisations impliquant les acteurs et les actions Le second paramegravetre est subjectif et permet de

classifier les meacutecanismes drsquoauthentification par ordre de fiabiliteacute afin drsquoestimer les vulneacuterabiliteacutes de

lrsquoenvironnement collaboratif Le dernier paramegravetre dans notre meacutetrique drsquoeacutevaluation du risque est la

menace que reflegravete la requecircte reccedilue Lrsquoeacutevaluation de cette menace est baseacutee sur la confiance du sujet

de la requecircte Par conseacutequent la question qui reste agrave eacuteclaircir concerne la maniegravere dont sera eacutevalueacutee

cette confiance Crsquoest sur cette question que nous avons travailleacute dans le cadre du chapitre suivant

agrave savoir Confiance numeacuterique

126

Chapitre 7


Sommaire

71 Introduction 125

72 Contexte 125





741 Discussion 131

75 Conclusion 133

71 Introduction

Dans ce chapitre nous allons deacutetailler notre approche dynamique drsquoeacutevaluation de la reacuteputation et

la confiance numeacuterique des sujets de collaboration au sein des communauteacutes RSE En premier lieu

nous allons introduire le contexte avec quelques deacutefinitions permettant drsquoeacutelucider certaines notions et

termes utiliseacutes dans le cadre de ce chapitre Ensuite nous preacutesenterons nos algorithmes drsquoeacutevaluation

de la reacuteputation et de la confiance Avant de conclure nous illustrons lrsquoefficaciteacute de nos proceacutedures

drsquoeacutevaluation de la reacuteputation et de la confiance agrave travers une eacutetude expeacuterimentale dans laquelle nous

observons lrsquoeacutevolution de la reacuteputation et de la confiance par rapport aux comportements de sujets

sur une succession de sessions collaboratives dans une communauteacute de collaboration

72 Contexte

ldquoLa confiance pense-t-on ne va pas sans conditions On ne peut lrsquoaccorder agrave nrsquoimporte qui les yeux

fermeacutes ni reacuteclamer drsquoautrui qursquoil nous lrsquoaccorde aveugleacutement sans la deacutegrader en simple creacuteduliteacute

Il faut pour cela donner certains gages le teacutemoignage drsquoactes anteacuterieurs et une certaine qualiteacute de

lrsquoattitude preacutesente qui laisse agrave penser que les actes futurs seront de lrsquoeacutetoffe des preacuteceacutedentsrdquo Crsquoest de ces

127

Chapitre 7 Confiance numeacuterique

mots utiliseacutes par Gildas Richard pour donner une deacutefinition philosophique [163] de la confiance que

notre vision de la confiance srsquoinspire En effet cette deacutefinition met en eacutevidence le lien indivisible et

mutuel entre le comportement et la confiance ainsi nous pourrons qualifier la confiance comme eacutetant

une conseacutequence comportementale Par conseacutequent trois mots cleacutes permettent de cerner la question

de confiance agrave savoir le passeacute le preacutesent et le futur

Dans le domaine informatique en geacuteneacuteral et celui de la seacutecuriteacute collaborative en particulier plu-

sieurs chercheurs se sont poseacutes la question sur la maniegravere avec laquelle il est possible de modeacuteliser la

confiance numeacuterique afin qursquoelle soit avantageuse pour la qualiteacute de la collaboration [33 81 12 190

104 188] Dans ce contexte il est difficile de ne pas remarquer lrsquoomnipreacutesence du terme ldquoreacuteputationrdquo

qui peut ecirctre drsquoune vision geacuteneacuterale consideacutereacute comme un synonyme de la confiance Neacuteanmoins bien

que eacutetroitement lieacutees et parfois confondues les notions de reacuteputation et de confiance manifestent

certaines diffeacuterences fondamentales et ce notamment quand il srsquoagit de seacutecuriteacute informatique dans

les environnements collaboratifs

bull Reacuteputation une mesure reacuteeacutevalueacutee en continue au moyen drsquoun processus de supervision sur

la base drsquoune ligne historique comportementale drsquoun sujet collaboratif

bull Confiance notion plus abstraite qui permet de cateacutegoriser (ie discreacutetionner) la valeur de la

reacuteputation Peut ecirctre utiliseacutee comme un indice de confiance sur lequel des eacutevaluations ainsi

que des eacuteventualiteacutes peuvent ecirctre fondeacutees entre sujetsystegraveme vis-agrave-vis drsquoun autre sujet

73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la

reacuteputation

Lrsquoeacutevaluation de la confiance drsquoun sujet dans notre meacutecanisme est baseacutee sur sa reacuteputation Cette

derniegravere est mesureacutee agrave partir des donneacutees historiques collecteacutees au cours de ses sessions collabora-

tives acheveacutees Une session est deacutefinie par un intervalle de temps durant lequel les interactions des

utilisateurs auront lieu et leurs meacutetadonneacutees comme le nombre de tentative drsquoaccegraves les ressources

utiliseacutees les permissions deacutefinies etc sont enregistreacutees sous forme de fichiers Logs

Lrsquoideacutee globale de notre meacutecanisme drsquoeacutevaluation de confiance est la suivante Pour chaque sujet

un indice de confiance est calculeacute agrave la fin de chaque session Ainsi nous suivrons lrsquoeacutevolution de cet

indice de confiance par rapport aux sessions preacuteceacutedentes Puis sur la base de cette eacutevolution nous

deacuteterminons la maniegravere dont sera eacutevalueacute le comportement du sujet au cours de sa prochaine session

Nous consideacuterons le comportement drsquoun sujet dans une communauteacute par rapport agrave ses demandes

(requecirctes) drsquoaccegraves Plus preacuteciseacutement drsquoun point de vue de seacutecuriteacute nous nous inteacuteressons aux re-

quecirctes rejeteacutees par le meacutecanisme de controcircle drsquoaccegraves que nous consideacuterons comme des tentatives

drsquoaccegraves illeacutegales aux ressources collaboratives

Nous supposons que les requecirctes de demande drsquoaccegraves de chaque sujet avec les deacutecisions corres-

pondantes sont collecteacutees agreacutegeacutees et enregistreacutees dans un fichier Log du sujet qui sera enregistreacute

dans la base drsquoinformations de la communauteacute en question

Drsquoun point de vue plus technique notre meacutecanisme drsquoeacutevaluation de la confiance est baseacute sur

128

73 Preacutesentations conceptuelles de lrsquoeacutevaluation de la confiance et la reacuteputation

la proceacutedure suivante Pour un sujet donneacute eg James le service CTS calcule agrave la fin de chaque

session collaborative la reacuteputation courante de James par rapport agrave son dernier facteur de peacutenaliteacute et

le nombre de requecirctes illeacutegales deacutetecteacutees Ensuite le CTS mesure lrsquoeacutevolution du score de la reacuteputation

courante de James avec celui de sa reacuteputation passeacutee Le score de reacuteputation passeacutee (ou initiale) est

calculeacute sur la base de la moyenne des scores de reacuteputations de toutes ses sessions acheveacutees Sur la

base de cette eacutevolution le CTS met agrave jour (au niveau du CIS) le facteur de peacutenaliteacute et ainsi lrsquoindice

de confiance du sujet James

Lrsquoindice de confiance est en effet calculeacute sur la base drsquoun facteur de peacutenaliteacute Ce dernier srsquoapplique

sur le nombre de requecirctes rejeteacutees de James pour le peacutenaliser Ainsi la reacuteputation courante est cal-

culeacutee agrave partir du dernier indice de confiance obtenu (ie mis agrave jour lors de la derniegravere session) et le

nombre de tentatives drsquoaccegraves non autoriseacutees collecteacutees au courant de la session courante

Par conseacutequent le score de reacuteputation est dynamique et change au cours des sessions Ce chan-

gement est ducirc en premier lieu aux variations des changements comportementaux refleacuteteacutees par le

nombre de requecirctes non autoriseacutees eacutetablies par le sujet en question En second lieu cela est ducirc aux

changements de lrsquoindice de confiance qui peut changer en fonction de lrsquoeacutevolution (ou la deacutegradation)

des scores de reacuteputation du sujet en question

731 Preacutesentation formelle du meacutecanisme drsquoeacutevaluation de confiance

Dans notre contexte nous consideacuterons que la reacuteputation drsquoun sujet diminue etou augmente agrave un

taux proportionnel au nombre de ses actions illeacutegales agrave savoir le nombre de demandes refuseacutees Par

conseacutequent une interception rapide drsquoun comportement suspect drsquoun sujet est neacutecessaire pour qursquoelle

soit prise en compte dans le processus de controcircle drsquoaccegraves Crsquoest pourquoi nous formalisons notre

systegraveme drsquoeacutevaluation de la reacuteputation t r avec une fonction exponentielle [190] qui prend comme

paramegravetres par rapport agrave un sujet S

bull le nombre de demandes refuseacutees nbDeny collecteacutees agrave la fin de la session courante

bull le dernier facteur de peacutenaliteacute ρ

Lrsquoalgorithme 1 deacutecrit notre fonction drsquoeacutevaluation de la reacuteputation drsquoun sujet

Algorithm 1 Eacutevaluation de la reacuteputation1 function ReputationComputing(S ρ nbDeny)2 t r = exp (minusρ lowast nbDeny)3 retourner t r 4 fin function

La confiance (ie indice de confiance) peut ecirctre calculeacutee sur la base du dernier facteur de peacutenaliteacute

obtenu En effet la confiance est lrsquoinverse du facteur de peacutenaliteacute Lrsquoalgorithme 2 illustre la fonction

de calcul de la confiance Trust Level

129


Algorithm 2 Eacutevaluation de la confiance1 function TrustComputing(S ρ)2 Trust Level = 1minusρ3 retourner Trust Level 4 fin function

Dans le cadre de notre eacutevaluation dynamique du comportement drsquoun sujet de collaboration lrsquoin-

dice de confiance est en effet un ensemble drsquoeacutetiquettes permettant de deacutecrire le niveau de confiance

qursquoaccorde le systegraveme agrave un sujet [12] En effet il srsquoagit drsquoun ensemble de valeurs discregravetes permettant

de speacutecifier les cateacutegories de confiance qui peuvent ecirctre attribueacutees aux sujets de la communauteacute Par

exemple tregraves fiable fiable normal non-fiable suspicieux Agrave chaque eacutetiquette de lrsquoensemble corres-

pond une valeur reacuteelle

La valeur du facteur de peacutenaliteacute ρ peut changer agrave la fin de chaque session Ces variations (aug-

mentationdiminution) de ρ obligeront un sujet agrave precircter attention agrave son comportement En effet le

comportement drsquoun sujet a un impact direct sur lrsquoeacutevolution de ρ Tant que le sujet ne cherche pas agrave

acceacuteder agrave des ressources non autoriseacutees le ρ appliqueacute restera faible

Pour calculer le ρ qui sera appliqueacute pour la prochaine session drsquoun sujet nous devons drsquoabord

calculer le score initial de sa reacuteputation t r0 et ce sur la base des scores obtenus dans ses sessions

passeacutees (ie historiques de collaboration) stockeacutes au niveau du CIS Ensuite nous avons besoin de

mesurer le taux drsquoeacutevolution λ entre le score de reacuteputation initial et le score de reacuteputation t r courant

ie calculeacute agrave la fin de la derniegravere session acheveacutee Plus preacuteciseacutement supposons que n est le nombre

de sessions de collaboration du sujet Pour calculer t r0 le CTS calcule la moyenne des scores des

reacuteputations obtenus au courant des n minus 1 sessions consommeacutees par le sujet Cependant dans le

calcul de moyenne le CTS donne plus drsquoimportance (pondeacuteration par 2) agrave la derniegravere expeacuterience

(ie session n minus 1) par rapport agrave celles qui restent (1n minus 2)

Ensuite pour calculer la taux drsquoeacutevolution λ de la reacuteputation le CTS mesure le taux de variation

entre la reacuteputation initiale t r0 et la reacuteputation courante t r en utilisant une fonction exponentielle

deacutecroissancecroissance Ainsi si t r est plus eacuteleveacute que t r0 alors λ sera une valeur positive sinon λ

sera une valeur neacutegative Par conseacutequent si lrsquoeacutevolution est positive (λgt 0) elle va reacuteduire le facteur

de peacutenaliteacute ρ Inversement si lrsquoeacutevolution est neacutegative (λlt 0) ρ sera aggraveacute (ie augmentation du

facteur de peacutenaliteacute)

Dans le but de se rapprocher de cas reacuteels il est logique que les variations dans la seacuteveacuteriteacute de

peacutenalisation ne soit pas la mecircme pour un sujet loyal et un sujet malhonnecircte Plus preacuteciseacutement lrsquoindice

de confiance drsquoun sujet malhonnecircte ne doit pas eacutevoluer (baissant la seacuteveacuteriteacute de peacutenalisation) dans

la mecircme proportion qursquoun sujet loyal Inversement un sujet loyal doit ecirctre sanctionneacute avec plus de

seacuteveacuteriteacute qursquoun sujet deacutejagrave suspect En effet un sujet loyal qui change brusquement son comportement

peut ecirctre un pirate par conseacutequent la sanction doit ecirctre seacutevegravere afin de reacuteagir rapidement et proteacuteger

les ressources collaboratives

Cela signifie que la cateacutegorie de la confiance du sujet [12] interpreacuteteacutee par sa derniegravere valeur du

facteur de peacutenaliteacute est directement impliqueacutee dans lrsquoeacutevolution de ρ Par conseacutequent nous pondeacute-

130


rons le λ obtenu avec le niveau de confiance du sujet (ie 1minusρ) En outre nous avons aussi besoin

drsquoadoucir lrsquoeacuteventuel changement brusque et eacuteleveacute de λ donc nous divisons le reacutesultat obtenu par le

facteur de seacuteveacuteriteacute de la communauteacute ς Ce dernier est un paramegravetre subjectif deacutefini par lrsquoadministra-

teur de la communauteacute Plus ce paramegravetre est eacuteleveacute plus il sera difficile pour les sujets de diminuer

leurs ρ respectifs

Algorithm 3 Taux drsquoeacutevolution du facteur de peacutenaliteacute1 function TrEvolFact(S t r0 t r ς ρ)2 λ= [(ln(t rt r0)2) lowast (1minusρ)]ς 3 retourner λ 4 fin function

Le calcul du nouveau ρ est baseacute sur le reacutesultat du dernier taux drsquoeacutevolution λ Pour cela agrave lrsquoimage

de la reacuteputation et la confiance nous avons deux sortes de facteurs de peacutenaliteacute un discret ρ et

lrsquoautre continu Ce dernier () est utiliseacute pour analyser les changements en continu du compor-

tement drsquoun sujet Tandis que ρ est directement appliqueacute pour sanctionner les eacuteventuelles actions

illeacutegales du sujet Ainsi nous calculons le facteur de peacutenaliteacute ρ comme suit Tout drsquoabord nous

soustrayons le taux drsquoeacutevolution courant λ du dernier facteur de peacutenaliteacute continue Ensuite nous

proceacutedons agrave la discreacutetisation du obtenu par rapport agrave lrsquointervalle discret DiscP[ ] En outre apregraves

un comportement suspicieux plus les valeurs discregravetes sont proches moins la cateacutegorie de confiance

descend

Algorithm 4 Calcul du facteur de peacutenaliteacute1 function penaltyFactor(S ρ λ)2 = minusλ 3 ρ = PenaltyDiscritization( DiscP[ ]) 4 retourner ρ 5 fin function

Avec notre fonction qui calcule λ les valeurs discregravetes de lrsquoensemble DiscP[ ] doivent toujours

ecirctre isin]0 1[ parce que si ρ est eacutegal agrave 0 alors aucune peacutenaliteacute ne sera appliqueacutee dans la communauteacute

Toutefois si ρ est eacutegal agrave 1 le taux drsquoeacutevolution λ converge vers la valeur 0 Crsquoest pourquoi il est

recommandeacute drsquoutiliser lrsquointervalle reacuteel DiscP [ ] sube ]0 1[ sauf dans le but de deacutesactiver le meacutecanisme

drsquoeacutevaluation de confiance

La proceacutedure de discreacutetisation est utiliseacutee pour empecirccher un sujet de changer immeacutediatement

son facteur de peacutenaliteacute apregraves une session de collaboration Nous utilisons pour cette proceacutedure un

algorithme de recherche dichotomique pour trouver la valeur discregravete la plus proche du ρ dans

lrsquointervalle discret Quand la valeur deacutepasse la borne supeacuterieure ou infeacuterieure de lrsquoensemble discret

la valeur de ρ est reacuteduite aux valeurs infeacuterieures etou supeacuterieures de DiscP[ ] respectivement La

discreacutetisation permet par ailleurs drsquoaligner tous les sujets de la communauteacute sur les mecircmes facteurs

de peacutenalisation

131


01 02

03 04

05 06

07 08

09 0 2 4 6 8 10 12 14

0 01 02 03 04 05 06 07 08 09

1

Reputation

PenaltyFactor

NbDeny

Reputation

0 01 02 03 04 05 06 07 08 09 1

FIGURE 71 ndash Fonction drsquoeacutevaluation de la confiance

732 Illustration

Agrave titre drsquoexemple nous utilisons lrsquoensemble discret suivant DiscP[ ] = 005 01 05 09Cet ensemble peut ecirctre interpreacuteteacute avec les eacutetiquettes suivantes tregraves fiable fiable non-fiable sus-

picieux En outre nous supposons que le nombre maximum de tentatives drsquoaccegraves refuseacutees est de

maxCommNbDeny = 15 Le reacutesultat de cette configuration de notre approche drsquoeacutevaluation de

confiance est illustreacute dans la figure 71 Comme nous voyons dans le graphique plus le facteur de

peacutenaliteacute ρ augmente plus la valeur de confiance baisse par rapport au nombre des requecirctes non

autoriseacutees

74 Eacutetude expeacuterimentale

Nous avons inteacutegreacute notre meacutecanisme drsquoeacutevaluation de confiance dans la plateforme OpenPaaS

Cependant nous manquons actuellement de reacuteelles traces drsquoexpeacuteriences utilisateurs Par conseacutequent

pour eacutevaluer notre approche de lrsquoeacutevaluation de la confiance nous avons fait quelques tests baseacutes sur

deux expeacuteriences de deux sujets Alice et Oscar Nous avons ensuite simuleacute le comportement de ces

deux sujets de telle sorte qursquoAlice ait un comportement acceptable et stable et que le comportement

drsquoOscar soit instable et parfois suspect

La dureacutee de session pour la collecte des traces des sujets drsquoune communauteacute est un paramegravetre

subjectif drsquoadministration 59 eg chaque heure jour mois trimestre ou plus De plus nous supposons

que le nombre de requecirctes rejeteacutees qui sont collecteacutees agrave la fin de chaque session est significatif et non

corrompu Par exemple si la dureacutee de session est deacutelimiteacutee par heure et qursquoun sujet ne fait aucune

59 Peut ecirctre un paramegravetre de creacuteation de communauteacute

132


interaction pendant une ou plusieurs sessions ses traces (tregraves positives) pour cette session ne seront

pas prises en consideacuteration pour lrsquoeacutevaluation de lrsquoeacutevolution de sa reacuteputation Dans le cadre de cette

thegravese nous nrsquoadressons pas cette probleacutematique car cela peut deacutependre de plusieurs paramegravetres

comme le temps passeacute par session la freacutequence drsquointeraction etc Ce point sera mieux traiteacute une fois

que lrsquoon dispose de vraies statistiques drsquoexpeacuterience reacuteelles drsquoutilisateur sur la plate-forme OpenPaaS

Il est de mecircme pour les valeurs initiales des reacuteputations ainsi que le niveau de confiance En effet

nous nous basons sur des valeurs moyennes ie pas tregraves peacutenalisantes ni favorisantes

Pour initialiser les expeacuteriences de nos deux sujets Alice et Oscar nous consideacuterons que leurs

valeurs initiales de confiance sont t r0 = 05 t r = 06 ρ = 01 = 01 Afin de simplifier la com-

preacutehension de notre eacutetude expeacuterimentale nous avons fixeacute le facteur de seacuteveacuteriteacute de la communauteacute

agrave ς = 1 ce qui signifie que lrsquoeacutevolution de lrsquoindice de confiance ρ sera tregraves rapide

Dans les deux figures 73 et 72 le graphe agrave ligne discontinue montre lrsquoeacutevolution du facteur de

peacutenaliteacute ρ tandis que celui agrave ligne continue indique lrsquoeacutevolution de la reacuteputation du sujet

Comme Alice est supposeacutee ecirctre une personne honnecircte nous avons geacuteneacutereacute son comportement au

moyen drsquoune fonction aleacuteatoire de 3 agrave 6 requecirctes rejeteacutees Quant agrave Oscar son comportement est

instable Pour cela nous avons deacutefini plusieurs vecteurs comportementaux pour Oscar

Dans le premier vecteur Oscar a un comportement normal pour un certain nombre de sessions

successives (Normal) Pour la deuxiegraveme peacuteriode Oscar ameacuteliore son comportement redevient exem-

plaire ie nombre neacutegligeable de requecirctes rejeteacutees (Normal2) Cela devrait reacuteduire le facteur de

peacutenaliteacute drsquoOscar Apregraves un comportement suspicieux drsquoOscar est deacutetecteacute sur une suite de sessions

par une freacutequence eacuteleveacutee de requecirctes non-autoriseacutees sur les ressources partageacutees (Mauvais) Enfin

le comportement drsquoOscar revient agrave lrsquoeacutetat normal

Normal 5 10 9 5 8 9 7 8 5 6 8Normal2 4 3 2 5 4 1 4 2 3 5 1 2Bon 4 3 5 2 2 1 1 0 2 1 1Mauvais 10 4 3 2 14 4 1 2 11 3 1 2

TABLE 71 ndash Le comportement drsquoOscar

741 Discussion

La figure 73 illustre les changements comportementaux drsquoOscar agrave travers un certain nombre de

sessions collaboratives Le fragment agrave ligne double deacutesigne la bonne peacuteriode pour Oscar et lrsquoautre

fragment agrave ligne simple deacutesigne la mauvaise peacuteriode

Ainsi notre analyse du graphique est la suivante Avant la bonne peacuteriode ougrave Oscar se comporte

drsquoune maniegravere normale (Normal) sa reacuteputation est plus au moins stable Ensuite durant la bonne

peacuteriode ougrave le comportement drsquoOscar est exemplaire nous remarquons que son facteur de peacutenaliteacute

baisse peacutenalisant avec moins de seacuteveacuteriteacute les mauvaises actions releveacutees et par conseacutequent la reacuteputa-

tion drsquoOscar est ameacutelioreacutee Plus tard quand le systegraveme de supervision deacutetecte qursquoOscar entreprend

soudainement un comportement suspicieux en essayant drsquoacceacuteder avec une freacutequence eacuteleveacutee agrave des

133


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation

FIGURE 72 ndash Eacutevolution de la reacuteputation drsquoun sujet agrave comportement stable et honnecircte

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation

FIGURE 73 ndash Eacutevolution de la reacuteputation drsquoun sujet agrave comportement instable et suspicieux

ressources qui lui sont non autoriseacutees le facteur de peacutenaliteacute augmente consideacuterablement provoquant

ainsi une importante baisse de la reacuteputation drsquoOscar Apregraves la mauvaise peacuteriode Oscar tente de se

racheter et reprend un comportement tregraves honnecircte (normal2) Ce dernier comportement est censeacute

ameacuteliorer la reacuteputation drsquoOscar Cela dit la reacuteputation drsquoOscar nrsquoest pas la mecircme que dans la bonne

peacuteriode (ligne double) drsquoavant la deacutetection du comportement malicieux

De lrsquoautre part la figure 72 montre les variations de la reacuteputation drsquoAlice Comme nous le voyons

le comportement drsquoAlice est stable cela se reflegravete par conseacutequent dans ses valeurs de reacuteputation agrave

travers ses sessions collaboratives

134

75 Conclusion

75 Conclusion

Dans ce chapitre nous avons deacutetailleacute notre approche dynamique drsquoeacutevaluation de la reacuteputation

et de la confiance vis-agrave-vis des sujets de collaboration au sein des communauteacutes OpenPaaS Notre

eacutevaluation de la confiance est baseacutee sur la supervision de lrsquoeacutevolution de la reacuteputation drsquoun sujet au

fil des sessions collaboratives Quant agrave la reacuteputation elle se focalise sur le comportement du sujet en

question en peacutenalisant ses actions collaboratives neacutegatives agrave savoir les requecirctes illeacutegales de demande

drsquoaccegraves aux ressources partageacutees de la communauteacute La peacutenalisation drsquoun sujet est fondeacutee sur son

indice de confiance mis agrave jour agrave la fin de chaque session collaborative et ce en fonction de lrsquoeacutevolution

de la reacuteputation courante du sujet par rapport agrave ses scores de reacuteputation anteacuterieurs

Cette approche contraint les sujets agrave faire attention agrave leurs comportements respectifs au sein des

communauteacutes de collaboration Elle permet en outre drsquoanticiper une usurpation drsquoidentiteacute agrave travers

tout changement comportemental brusque et bloquer ainsi lrsquoaccegraves au sujet en question Le blocage

drsquoaccegraves se fait au moyen du meacutecanisme de gestion du risque (preacutesenteacute dans le chapitre (cf Gestion

du risque) qui inclut cette meacutetrique drsquoeacutevaluation de confiance comme un paramegravetre drsquoestimation

de la menace drsquoune requecircte reccedilue Le meacutecanisme de gestion du risque est le moteur principal des

politiques entreprises destineacutees agrave superviser les politiques de partage de ressources par les sujets

de collaboration Par conseacutequent la confiance devient un paramegravetre cleacute dans notre meacutecanisme de

controcircle drsquoaccegraves OpenPaaS

Notre proposition drsquoun meacutecanisme de seacutecuriteacute des ressources collaboratives inclut tous les com-

posants preacuteceacutedemment deacutetailleacutes agrave savoir le meacutecanisme drsquoauthentification interopeacuterable les poli-

tiques de partage de ressources les politiques entreprises qui incluent la gestion du risque et de la

confiance Ces composants ont eacuteteacute valideacutes et mis en œuvre dans le cadre du projet OpenPaaS RSE

Dans le chapitre suivant nous allons aborder lrsquoaspect technique de notre conception en deacutetaillant la

mise en œuvre diffeacuterents composants logiciels que nous avons inteacutegreacutes dans OpenPaaS RSE agrave savoir

lrsquoauthentification lrsquoautorisation et lrsquoaudit

135

Chapitre 8

Implantation des composantes de

seacutecuriteacute

Sommaire









85 Conclusion 151

Dans ce chapitre nous allons preacutesenter les diffeacuterentes APIs que nous avons deacuteveloppeacutees et in-

teacutegreacutees dans le cadre de la plate-forme OpenPaaS RSE Il srsquoagit de trois composants proposeacutes sous

forme de service web pour la gestion de lrsquoauthentification de lrsquoautorisation et de lrsquoaudit (supervi-

sion) Bien eacutevidemment lrsquoimplantation de ces trois services est inteacutegralement baseacutee sur les concepts

de seacutecuriteacute preacutesenteacutes dans les chapitres preacuteceacutedents

Le chapitre est ainsi organiseacute Drsquoabord nous preacutesentons une vue conceptuelle globale de notre

systegraveme au moyen drsquoun diagramme de classe UML Ensuite nous rappelons briegravevement lrsquoideacutee fon-

datrice de conception de chaque composant suivi de son implantation avec des deacutetails sur lrsquoaspect

technologique de mise en œuvre Enfin nous preacutesenterons les performances pour montrer outre

lrsquoefficaciteacute lrsquooptimaliteacute de notre API de seacutecuriteacute

81 OpenPaaS RSE vue abstraite

Lrsquoarchitecture de la plateforme OpenPaaS vue sous lrsquoangle de seacutecuriteacute est illustreacutee dans la figure

81 Les entiteacutes principales sont le sujet (Member) la communauteacute (Community) et les ressources

137

Chapitre 8 Implantation des composantes de seacutecuriteacute

FIGURE 81 ndash Architecture globale de plateforme de seacutecuriteacute drsquoOpenPaaS

(informations outils logiciel document service web) Nous avons eacutegalement lrsquoentreprise (Organiza-

tion) agrave laquelle appartient un sujet et dans laquelle est deacutefinie son identiteacute En outre nous avons

les permissions sur les ressources partageacutees par un sujet dans une communauteacute ainsi que les deacuteleacute-

gations entre sujets Enfin nous avons la classe History Log dans laquelle est enregistreacute lrsquohistorique

drsquointeractions (les actions les dates etc) drsquoun sujet

82 Gestion des identiteacutes numeacuterique ndashAuthentificationndash

Notre principal objectif dans la gestion des identiteacutes numeacuterique est de permettre agrave chaque en-

treprise de preacuteserver son meacutecanisme drsquoauthentification preacutefeacutereacute et de pouvoir drsquoun cocircteacute veacuterifier lrsquoau-

thenticiteacute drsquoidentiteacute drsquoutilisateurs externes et drsquoun autre cocircteacute permettre agrave ses utilisateurs internes de

pouvoir srsquoauthentifier aupregraves drsquoautres entreprises nrsquoutilisant pas forceacutement le mecircme meacutecanisme drsquoau-

thentification Pour ce faire nous nous sommes baseacutes sur lrsquooutil LemonLDAP-NG (cf section 4232

138


Chapitre Architecture et gestion des identiteacutes numeacuteriques)

821 Reacutesumeacute de solution proposeacutee

LemonLDAP-NG est installeacute en tant que service web au niveau de chaque entreprise et chaque

communauteacute faisant partie du RSE En effet une forme de feacutedeacuteration qui consiste agrave deacuteleacuteguer la

veacuterification de lrsquoidentiteacute drsquoun acteur au gestionnaire drsquoauthentification de la communauteacute est mise

en place entre ce dernier et ceux des entreprises

Le processus drsquoauthentification se base sur les modules LLdap-NG suivants Le Portail LLdap fait

office de client SSO Le module AuthProxy sert agrave transfeacuterer drsquoun Portail drsquoauthentification agrave un autre

les jetonscertificats drsquoidentiteacute pour veacuterification vis-agrave-vis de la base LDAP distante

Gracircce agrave ces deux composants logiciels le gestionnaire drsquoauthentification drsquoune communauteacute peut

veacuterifier lrsquoauthenticiteacute du certificatjeton drsquoidentiteacute drsquoun acteur donneacute apregraves la reacuteception drsquoune reacuteponse

sous forme de cookie de la part du fournisseur drsquoidentiteacutes de lrsquoentreprise du sujet

Techniquement nous nous sommes baseacutes en premier lieu sur une architecture Credential-based [32]Dans ce type drsquoarchitecture les Credentials sont utiliseacutes par un acteur afin de prouver son identiteacute

aupregraves drsquoun fournisseur de services Cependant nous avons eacutetendu lrsquoarchitecture Credentials-based

avec une interaction entre le fournisseur drsquoidentiteacutes (entreprise) et le fournisseur de services (com-

munauteacute) afin de veacuterifier que lrsquoidentiteacute de lrsquoacteur qui preacutesente les Credentials nrsquoa pas eacuteteacute usurpeacutee

La proceacutedure de veacuterification des Credentials se fait du cocircteacute du fournisseur drsquoidentiteacutes une fois que

ces derniers lui sont transfeacutereacutes par un fournisseur de services Cette proceacutedure de veacuterification de

Credentials est baseacutee sur deux types drsquoidentiteacutes agrave savoir priveacutee (interne) et publique (externe) Une

fois les Credentials veacuterifieacutes et valideacutes le fournisseur drsquoidentiteacutes de lrsquoutilisateur reacutepond au fournisseur

de services par un jeton sous forme de cookie Dans le cas ougrave lrsquoauthentification eacutechoue (utilisateur

non authentifieacute) le cookie sera vide

822 Implantation

Pour tester le prototype nous avons opteacute pour le meacutecanisme drsquoauthentification LoginPassword

avec des comptes utilisateurs preacutedeacutefinis dans LemonLDAP-NG

bull Nous avons commenceacute par installer touts les preacute-requis logiciels neacutecessaires au bon fonction-

nement de LemonLDAP-NG

139


apt-get install apache2 libapache2-mod-perl2 libapache-session-perl libnet-ldap-perl

libcache-cache-perl libdbi-perl perl-modules libwww-perl libcache-cache-perl libxml-

simple-perl libsoap-lite-perl libhtml-template-perl libregexp-assemble-perl libjs-jquery

libxml-libxml-perl libcrypt-rijndael-perl libio-string-perl libxml-libxslt-perl libconfig-

inifiles-perl libjson-perl libstring-random-perl libemail-date-format-perl libmime-lite-perl

libcrypt-openssl-rsa-perl libdigest-hmac-perl libclone-perl libauthen-sasl-perl libnet-cidr-

lite-perl libcrypt-openssl-x509-perl libauthcas-perl libtest-pod-perl libtest-mockobject-perl

libauthen-captcha-perl libnet-openid-consumer-perl libnet-openid-server-perl libunicode-

string-perl libconvert-pem-perl libmouse-perl

bull ensuite nous avons installeacute LemonLDAP-NGhttplemonldap-ngorgdocumentationquickstart

bull enfin nous avons configureacute lrsquoaccegraves SOAP agrave LemonLDAP-NGhttplemonldap-ngorgdocumentationlatestsoapsessionbackend

Le nom de la meacutethode qui nous permet de reacutecupeacuterer le Cookie est getCookies se trouve dans la

classe AuthenticationPortTypeProxy dans le package Lemonldap Nous avons obtenu ce package gracircce

au fichier de description de service portalwsdl fourni par LemonLDAP-NG La meacutethode getCookie

prend en paramegravetres un nom drsquoutilisateur et un mot de passe et si ces paramegravetres sont valides elle

retourne un Cookie non null sinon la valeur du Cookie sera null

Le client REST qui se charge drsquointerroger LemonLDAP-NG et reacutecupeacuterer le Cookie est illustreacute dans

la figure 83 Ce client eacutetablit un appel REST via une requecircte HTTP sur le service drsquoauthentification

AuthenticationService Au niveau du service drsquoauthentification AuthenticationService qui est baseacute sur

le package LemonLDAP-NG nous avons deacutefini la meacutethode authentication illustreacutee dans la figure82

Cette meacutethode permet drsquoeacutetablir une connexion avec LemonLDAP-NG et reacutecupeacuterer la valeur du Co-

okie 60 Cette meacutethode nous lrsquoavons exposeacute pour qursquoelle soit accessible par un appel en GET (REST)

depuis le service drsquoapplication ou celui du controcircle drsquoaccegraves

Deacutependances

La liste des deacutependances neacutecessaires pour lrsquoutilisation de LemonLDAP-NG sous maven est la sui-

vante

mdash apache-jakarta-commons-discovery

mdash axis-client

mdash commons-logging-12

mdash mail-147

mdash wsdl4j-152

mdash javaxmail-152

60 La veacuterification drsquoauthentification de lrsquoutilisateur se fait au niveau du service AuthenticationService gracircce agrave la va-riable booleacuteenne isAuthenticatedUsed par conseacutequent au niveau du client on pourrait reacutecupeacuterer directement la valeur deisAuthenticatedUsed pour veacuterifieacute si lrsquoutilisateur est bien authentifieacute (ou pas) dans le cas ougrave on voudrait pas faire un testsuppleacutementaire

140


FIGURE 82 ndash Meacutethode de lrsquoauthentification

FIGURE 83 ndash Client authentification

mdash activation-11

mdash javaee-api-70

Afin de faciliter lrsquoinstallation et le test de LemonLDAP-NG des comptes de deacutemonstration on eacuteteacute

mis en place Pour la gestion des comptes utilisateurs une documentation plus deacutetailleacutee expliquant

la proceacutedure agrave suivre sur

httplemonldap-ngorgdocumentationlatestauthdemo

141


83 Controcircle drsquoaccegraves dans OpenPaaS ndashAutorisationndash

Une fois le sujet authentifieacute sa requecircte sera transfeacutereacutee et eacutevalueacutee par le service drsquoautorisation

Le modegravele drsquoautorisation que nous avons proposeacute est fondeacute sur le modegravele ABAC (Attribute Based

Access Control) avec une implantation formelle baseacutee sur la logique temporelle Event-Calculus Nous

utilisons le raisonneur logique DEC-Reasoner 61 pour lrsquoeacutevaluation des patrons de controcircle drsquoaccegraves

que nous geacuteneacuterons automatiquement agrave lrsquoaide drsquoun pilote Java (exposeacute en tant que service Web) La

figure 84 donne un aperccedilu sur le sceacutenario de deacuteroulement du processus de controcircle drsquoaccegraves que nous

avons conccedilu pour OpenPaaS Les diffeacuterentes eacutetapes du sheacutemas seront expliqueacutees dans la sous-section

suivante

FIGURE 84 ndash Architecture globale de service de controcircle drsquoaccegraves drsquoOpenPaaS

831 Reacutesumeacute de la solution proposeacutee

Comme le montre lrsquoarchitecture dans la figure 84 le principal composant est le service web

Community-Decision-Service (CDS) qui interagit avec le conteneur des regravegle politiques et policySets

le Community-Administration-Store (CAdS) Les principales eacutetapes du processus sont

bull Deacutefinir des regravegles politiques et policiesSets ensuite les inseacuterer dans la base de donneacutees Mon-

goDB

bull reacutecupeacuterer la requecircte les regravegles les politiques et le policiesSet depuis la base de donneacutees

MongoDB ensuite les utiliser pour geacuteneacuterer les fichier event-calculus ldquofileerdquo en se basant sur

les patrons Event-Calculus


142


bull transfeacuterer les fichiers ldquofileerdquo au raisonneur logique Dec-Reasoner pour reacutecupeacuterer le reacutesultat

final apregraves le processus du raisonnement

Pour chaque eacutetape du processus nous avons respectivement deacutefini les classes AuthzStore SaaS-

Patterns et SaaSResource

832 Implantation

Dans cette partie nous allons deacutetailler la conception de chacune des classes AuthzStore SaaSPat-

terns et SaaSResource

8321 Authorization store

Path(authzStre) class AuthzStore

Cette partie consiste en la gestion des composants de controcircle drsquoaccegraves agrave savoir les regravegles politiques et

les ensembles de politique (PolicySet) La gestion se fait par la mise agrave jour (ie insertion modification

et suppression) de la base de donneacutees MongoDB en question Nous avons exposeacute toutes les meacutethodes

de gestion de la base donneacutee en REST pour que la mise agrave jour de la base soit plus simple via des

requecirctes JSON 62 depuis un client REST

Insertion

Le modegravele JSON pour lrsquoinsertion de regravegle figure 85

rarrPOST Path(PostPath) public Response insertRule(String msg)

FIGURE 85 ndash Insertion de regravegle

Le modegravele de requecircte JSON pour lrsquoinsertion de politique figure 86

rarrPOST Path(postPolicyPathpolicyName) Response InsertPolicies(String policyAtt)

Reacuteponses possibles

bull http 201 Created si la regravegle est creacuteeacutee

bull http 400 Bad Request si le contenu du POST nrsquoest pas valide

62 http wwwjsonorg

143


FIGURE 86 ndash Insertion de politique

bull http 500 Server Error si une erreur impreacutevue est survenue pendant la creacuteation de la regravegle

Mise agrave jour et suppression

La suppression se fait par une requecircte http contenant lrsquoidentifiant (nom) du composant regraveglepolitique

agrave supprimer

rarrDELETE Path(deleteRulePath||deletePolicyPath ruleName||policyName) Par exemple

http adresseIPSaaSresourcesauthzStredeleteRulePathRules1

La mise agrave jour ce fait eacutegalement via un appel REST avec les mecircmes attributs du POST( figure 85

ou 86)

rarrPUT Path(PutPath||PutPolicyPath ruleName||policyName)


bull http 200 OK si la regravegle est mise agrave jour


bull http 404 Not Found si aucune regravegle nrsquoest trouveacutee pour lrsquoID ldquoruleIdrdquo

bull http 500 Server Error si une erreur impreacutevue est survenue pendant la mise agrave jour de la regravegle

Dec-Reasoner

Pour la deacutefinition des composants de controcircle drsquoaccegraves agrave savoir regravegle politique et politcySet nous

avons choisi drsquoutiliser un langage formel baseacute sur la logique temporelle Event-calculusUne documen-

tation complegravete sur le raisonneur que nous avons utiliseacute est dans [146] La proceacutedure drsquoinstallation

(compilation) de Dec-Reasoner est eacutegalement deacutecrite dans le fichier README 63 Dec-Reasoner prend

en entreacutee un fichiere et comme illustreacute dans la figure89 il retourne tous les reacutesultats possibles

du raisonnement sous la forme de modegraveles On utilise un script Python run_DecReasonerpy (figure

87 [198]) en tant qursquointermeacutediaire agrave travers lequel on passe les fichierse au raisonneur pour obtenir

ensuite les reacutesultats du raisonnement geacuteneacutereacutes par ce dernier sous forme de fichierres

Ensuite comme notre service de controcircle drsquoaccegraves est eacutecrit en Java nous avons implanteacute la meacute-

thode DecReasonerInvocation qui eacutetablie la connexion avec le raisonneur en passant par run_DecReasonerpy

La meacutethode DecReasonerInvocation illustreacutee dans la figure 88 prend un seul paramegravetre chemin qui

est le chemin du fichiere agrave passer au raisonneur

63 httpsourceforgenetprojectsdecreasonerfiles

144


FIGURE 87 ndash Script python pour invoquer le raisonneur

FIGURE 88 ndash Meacutethode java pour le deacuteclenchement du raisonnement

Note Dans la logique drsquoexeacutecution du raisonneur Dec-Reasonner si une entreacutee commence par

une minuscule il lrsquoa considegravere comme variable et si elle commence par une majuscule il lrsquoa

considegravere comme une constante (ie valeur de la variable) Par conseacutequent il est impeacuteratif

que toutes les entreacutees dans la base de donneacutees MongoDB commencent par une Majuscule

faute de quoi le reacutesultat fourni par Dec-Reasoner sera faux 145


FIGURE 89 ndash Reacutesultat du raisonnement

Geacuteneacuteration automatique des patrons Event-Calculus

Event-calculus est un langage de preacutedicats et il nrsquoest pas eacutevident pour des utilisateurs non expeacute-

rimenteacutes drsquoeacutecrire des regravegles en langage formel Pour cette raison nous avons creacuteeacute une meacutethode de

geacuteneacuteration automatique de patrons Event-Calculus et nous lrsquoavons inteacutegreacute dans notre service de deacuteci-

sion CDS Comme le montre lrsquoarchitecture globale du service de controcircle drsquoaccegraves figure 84 au niveau

des eacutetapes 22rsquo et 3 nous reacutecupeacuterons les valeurs des attributs des regravegles et les politiques stockeacutes au

niveau de la base de donneacutees et notre service geacutenegravere automatiquement les patrons adeacutequats Les

patrons sont des fichiere et nous avons deux types de patrons

bull Les patrons geacuteneacuteriques et permanents sont immuables et repreacutesentent lrsquoimplantation de

notre modegravele de controcircle drsquoaccegraves il srsquoagit des patrons RulesPatterns PolicyPatterns Poli-

cySetPatterns sort (les variables du modegravele) et ordering (pour la gestion des conflits)

Ces patrons sont eacutecrits en dur et ne doivent pas ecirctre changeacutes

bull Les patrons temporaires et dynamiques sont les patrons que le service geacutenegravere et utilise

pour chaque requecircte Plus de deacutetails sur ce type de patron ci-dessous

Les diffeacuterents patrons temporaires sont (class SaaSPatterns)

bull input contient les informations de la requecircte agrave savoir lrsquoutilisateur la ressource demandeacutee

et lrsquoaction deacutesireacutee

rarr generateInputfile (String user String resource String action String workingDir)

146


bull rules contient les informations pour chaque regravegle dans la base de regravegles Le service parcourt

la base de regravegles et geacutenegravere pour chaque regravegle son patron

rarr generateRulesPatterns(ArrayListltStringgt rules String rulesWorkingDir)

bull policy contient les informations pour chaque policy dans la base de policies Le service

parcourt la base de policies et geacutenegravere pour chaque policy son patron

rarr generatePoliciesPatterns(String policies String policiesWorkingDir)

bull policySet Le patron final que le service passe au raisonneur Ce patron contient un pointeur

vers tous les autres patrons Event-Calculus preacuteceacutedemment mentionneacutes

rarr generatePolicySetPatterns(St ringpoliciesSet St ringpolicies Arra y List lt St ring gt rules

St ringpoliciesSetWorkingDir St ringrulesWorkingDir St ringpoliciesWorkingDir)

Bien que les meacutethodes de geacuteneacuteration de patrons sont diffeacuterentes le principe est un peu le mecircme

Plus preacuteciseacutement le service interroge la base de donneacutees reacutecupegravere les informations concernant les

diffeacuterents composants de controcircle drsquoaccegraves (la regravegle la politique le policySet et la requecircte) sous forme

de donneacutees en format JSON Ensuite le service de controcircle drsquoaccegraves les parcourt met les valeurs dans

des tableaux dynamiques et enfin utilise les valeurs du tableau pour remplir les parties dynamiques

(variables) dans les patrons preacutedeacutefinis

Une fois que le service de controcircle drsquoaccegraves a creacuteeacute le fichier PolicySete il lrsquoenvoie au raisonneur

via la meacutethode DecReasonerInvocation gtgt run_DecReasonerpy et un fichier PolicySetres est geacuteneacutereacute

en conseacutequence Ce dernier contient le reacutesultat du raisonneur Dec-Reasoner Le service de controcircle

drsquoaccegraves lit le contenu du fichier PolicySetres et reacutecupegravere le reacutesultat du raisonnement sur la requecircte

par rapport aux regravegles de controcircle drsquoaccegraves existantes dans la base MongoDB et retourne le reacutesultat

finale sous forme de boolean Au final le service supprime tout les fichiers temporaires qui ont eacuteteacute

creacuteeacutes pour eacuteviter qursquoils soient reacuteutiliseacutes pour une nouvelle requecircte notamment dans le cas drsquoune mise

agrave jour de la base de regravegles ou politiques avec effet opposeacute agrave celles qui ont eacuteteacute creacuteeacutees

La classe principale qui se charge de la gestion de tout le processus de controcircle drsquoaccegraves est class

SaaSResource gtgt authorizations () Elle est accessible via Path(ldquoauthzrdquo) Par exemple une

requecircte de la part de lrsquoutilisateur ldquoMemberrdquo pour lrsquoaction GET sur la ressource Com1 ressemble a

httpSaaSresourcesauthzsubject=Memberampresource=Com1ampaction=GET

Deacutependances

mdash jython-standalone-252

mdash mongo-java-driver-2123

Eacutevaluation des performances

Pour lrsquoeacutevaluation des performances du temps de traitement pour lrsquoanalyse et la veacuterification des

politiques de seacutecuriteacute au moyen du raisonneur DEC-Reasoner nous avons proceacutedeacute agrave des eacutevaluations

sur un ordinateur portable avec un processeur Intel Core i7-2640M CPU 280GHz 8GB RAM et

systegraveme drsquoexploitation Ubuntu 1404 LTS

147


Pour le raisonnement nous avons utiliseacute la version 10 du Dec-Reasoner avec le solveur SAT

Relsat-202 Avant la phase du raisonnement le Dec-Reasoner se charge drsquoabord de lrsquoencodage des

modegraveles Event-Calculus en un problegraveme SAT Cependant une des principales limites du raisonneur

Dec-Reasoner est le temps utiliseacute pour lrsquoencodage SAT qui pourrait limiter le passage agrave lrsquoeacutechelle [201]En effet le code du Dec-Reasoner a eacuteteacute modifieacute par [203] proposant une modification au processus

drsquoencodage Cette modification a deacuteboucheacute sur une consideacuterable ameacutelioration des performances en

matiegravere du temps drsquoencodage Nous avons utiliseacute la fonction ameacutelioreacutee pour lrsquoencodage SAT pour les

eacutevaluations entreprises dans le cadre de cette thegravese

1005 20 40 60 80

7

0

1

2

3

4

5

6

Number of PoliciesPolicySets

Tim

e (S

econ

ds)

Encoding time (DECReasoner)Solution Computation (Relsat Solver)PolicySets each with 50 Policies and each policy with 50 rulesPolicies each with 50 Rules

FIGURE 810 ndash Reacutesultats drsquoeacutevaluation des performances

En se reacutefeacuterant au cadre principal (ie partage de ressources) de lrsquoexemple de motivation (cf

chapitre Probleacutematique et motivations) nous avons testeacute plusieurs cas afin de mesurer les perfor-

mances de notre approche En premier lieu nous avons augmenteacute le nombre de regravegles politiques et

PolicySets Neacuteanmoins les performances restent acceptables de lrsquoordre de 02 secondes jusqursquoagrave un

peu plus de 250 regraveglespolitiquesPolicySets

Les reacutesultats du raisonnement sont illustreacutes dans la figure 810 Lrsquoaxe Y indique le temps consommeacute

tandis que sur lrsquoaxe X sont afficheacutees les cardinaliteacutes des ensembles politiques et PolicySets Ainsi nous

avons consideacutereacute deux cas Dans le premier cas nous augmentons le nombre de politiques sachant

que chaque chaque politique contient 100 regravegles Les performances sont plutocirct acceptables car pour

180 politiques (180000 regravegles) le temps consommeacute pour lrsquoencodage est 43 secondes et 14 secondes

pour trouver la solution Le second test introduit la notion de PolicySet Ainsi on augmente le nombre

de PolicySets dont chacun compte 50 politiques contenant 50 regravegles Le reacutesultat reste eacutegalement en-

courageant et rassurant par rapport aux performances de notre approche baseacutee sur le raisonneur

Dec-Reasoner Car mecircme avec 90 PolicySet (4500 politiques et 225000 regravegles) le temps de de lrsquoenco-

dage SAT entre 5 agrave 6 secondes Cependant le temps neacutecessaire pour trouver la solution finale reste

moins drsquoune seconde et ce en deacutepit du fait que les expeacuterimentations soient reacutealiseacutees sur une machine

148

84 Audit et gouvernance des ressources collaboratives dans OpenPaaS

personnelle loin drsquoecirctre du mecircme ordre de performances de calcul qursquoun serveur

84 Audit et gouvernance des ressources collaboratives dans Open-

PaaS

Dans cette partie nous proposons une approche de suivi en temps reacuteel du comportement des

utilisateurs dans la plate-forme Nous proposons eacutegalement des mesures de preacutevention face aux

comportements suspicieux des utilisateurs vis-agrave-vis des ressources collaboratives deacuteployeacutees dans une

communauteacute Cette supervision se fait par lrsquoeacutevaluation de la conduite de chaque utilisateur au sein de

sa communauteacute pour eacutevaluer la confiance numeacuterique (trust) Lrsquoeacutevaluation de la confiance entre dans

le cadre de la gestion du risque pour la mise en place des politiques entreprises Dans le cadre de la

gestion du risque le trust est un des paramegravetres qui permettent de deacutecider si un acteur est autoriseacute

(ou pas) agrave acceacuteder agrave une ressource et ce par rapport agrave un seuil de toleacuterance donneacute par lrsquoentreprise

proprieacutetaire de la ressource collaborative

Reacutesumeacute de la solution proposeacutee

Lrsquoanalyse du comportement drsquoun acteur deacutebouche sur la baisse ou lrsquoaugmentation de son trust

Ainsi selon notre point de vue le critegravere le plus approprieacute et efficace dans une plate-forme collabo-

rative telle que OpenPaaS est le nombre de tentatives drsquoaccegraves non-autoriseacutes aux ressources collabo-

ratives En reacutesumeacute afin mesurer la reacuteputation et ainsi le trust drsquoun acteur nous nous inteacuteressons au

nombre de tentatives drsquoaccegraves illeacutegales qursquoil tente

Avant toutes choses nous tenons agrave rappeler que la supervision inclut deux paramegravetres agrave savoir la

reacuteputation et la confiance La reacuteputation est une estimation continue de la qualiteacute du comportement

drsquoun acteur Il srsquoagit drsquoune valeur reacuteelle qui peut changer agrave la fin de chaque session En revanche la

confiance est un paramegravetre agrave valeur discregravete calculeacutee sur la base de lrsquoeacutevolution (positive ou neacutegative)

de la reacuteputation drsquoun acteur La confiance eacutevolue drsquoune maniegravere moins rapide que la reacuteputation

Comme illustreacute dans la figure 811 le module de supervision inteacutegreacute dans le service de controcircle

drsquoaccegraves consulte le service de gouvernance SuprvService Ce dernier reccediloit en entreacutee les informations

concernant les interactions de la session courante du sujet pour reacuteeacutevaluer sa reacuteputation par rapport

agrave un facteur de peacutenaliteacute calculeacute en amont par le mecircme service Ces informations font ensuite lrsquoobjet

de la mise agrave jour de lrsquohistorique drsquoexpeacuterience du sujet dans sa communauteacute

Algorithme

Une vue deacutetailleacutee sur nos proceacutedures de calcul de la reacuteputation ainsi que la confiance est illustreacutee

dans la figure 812 Notre algorithme drsquoestimation de la reacuteputation est baseacute sur la fonction exponen-

tialDecay N(t) = N0eminusλ Cette fonction permet drsquoeacutevaluer lrsquoeacutevolution aussi bien que la deacutegradation

des reacutesultats drsquoun pheacutenomegravene agrave partir drsquoau moins deux eacutechantillons extraits agrave des instants diffeacute-

rents t0tn Lrsquoeacutevolution ou la deacutegradation est deacuteduite agrave partir de la valeur du DecayFactor λ Si

149


FIGURE 811 ndash Architecture du systegraveme de controcircle drsquoaccegraves avec le module de gouvernance

λ gt 0rarr Growth si λ lt 0rarr Deca y

La valeur de λ nous permet de projeter au moyen drsquoune fonction exponentielle le nombre de

requecirctes rejeteacutees (nbDeny) sur la valeur de trust correspondante comme le montre la figure813

Sachant que agrave chaque fin de session le DecayFactor (indice de trust) λ est recalculeacute en fonction de

lrsquoeacutevolution (baisseaugmentation) de la reacuteputation

Implantation

Nous avons implanteacute en Java lrsquoalgorithme drsquoestimation de la reacuteputation ainsi que celui du trust

en Java et nous les avons exposeacutes en tant que service-Web REST Nous utilisons une base de don-

neacutees pour le stockage des informations concernant le profil drsquoun sujet (trust decayFactor historique

etc) Comme le montre la figure 815 la meacutethode qui se charge du calcul de la valeur de trust

trComputing prend en paramegravetre lrsquoidentifiant de lrsquoutilisateur (ldquorequesterrdquo) le nombre de requecircte(s)

non-autoriseacutee(s) ldquonbDenyrdquo et le facteur de seacuteveacuteriteacute de la communauteacute en question Ce dernier facteur

repreacutesente le degreacute de peacutenalisation drsquoun utilisateur ayant deacutepasseacute le nombre de tentatives drsquoaccegraves

maximum (abus) autoriseacutees par la communauteacute en question Ce facteur de seacuteveacuteriteacute est un nombre

reacuteel positif isin [01] plus le nombre se rapproche de zeacutero (plus petit) plus lrsquoutilisateur aura du mal agrave

150


Session collaborative Session collaborative

CTS CTS CTS

GetUpdate

Time-line

+ Nombre de requecirctes illeacutegales + Scores de reacuteputations historiques + Indice de confiance

Valeur de confiance + Reacuteputation

1

2

3

FIGURE 812 ndash Meacutecanisme drsquoeacutevaluation de la reacuteputation et la confiance vue deacutetailleacutee

faire eacutevoluer sa valeur de confiance au sein de la communauteacute en question La meacutethode trComputing

est accessible via une requecircte http du type

httpAuditServiceresourcestrustComputingsubject=MemberampnbDeny=2amp

comSeverity=001

La meacutethode trComputing est baseacutee sur la meacutethode evaluationTrust (figure 816) qui prend en pa-

ramegravetres les mecircmes paramegravetres que trComputing agrave savoir lrsquoidentifiant utilisateur (iduser) le nombre

de refus qursquoil a eu (nbDdeny) et la seacuteveacuteriteacute de la communauteacute dans laquelle il interagit (epsilon)

Lrsquointeraction avec la base de donneacutees utilisateurs mongoDB est geacutereacutee par la classe

Path(trustStre) public class TrustStore

Deacutependances

mdash javaee-api-70

mdash json

mdash mongo-java-driver

mdash activation-11

mdash javaxmail-150

151


0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

ρ = - 005 ρ = - 01

ρ = - 05 ρ = - 1

Tru

st le

vel

Tru s

t le

vel

Tru s

t le

vel

Tru

st le

vel

Nb DenyNb Deny

Nb DenyNb Deny

FIGURE 813 ndash Eacutevolution du trust par rapport au DecayFacor

FIGURE 814 ndash Interruption drsquoune session

FIGURE 815 ndash Calcul du trust

152

85 Conclusion


85 Conclusion

Dans ce chapitre nous avons abordeacute lrsquoaspect technique de nos propositions des composants de

seacutecuriteacute conccedilu pour OpenPaaS RSE En premier lieu nous avons deacutetailleacute lrsquoimplantation du meacutecanisme

drsquoauthentification interopeacuterable et feacutedeacutereacute baseacute sur LemonLDAP-NG Ensuite nous avons deacutetailleacute le

module de controcircle drsquoaccegraves baseacute sur le modegravele ABAC et la logique temporelle Event-Calculus Ainsi

nous avons implanteacute notre modegravele de seacutecuriteacute sur la base drsquoune architecture XACML et un forma-

lisme logique agrave lrsquoaide de lrsquooutil Dec-Reasoner pour lrsquoanalyse et la veacuterification des regravegles politiques et

PolicySets Enfin nous avons parleacute de la mise en oeuvre du module de supervision et eacutevaluation de

la confiance numeacuterique et la reacuteputation

153


FIGURE 817 ndash Initialisation de la base de donneacutees (mongoDB) des utilisateurs (ajout drsquoutilisateurldquoAhmedrdquo)

154

Chapitre 9


Sommaire


92 Perspectives 155

91 Synthegravese

Dans cette thegravese nous avons abordeacute le contexte des environnements collaboratifs destineacutes agrave des

plateformes de type reacuteseau social drsquoentreprises Plus preacuteciseacutement nous avons eu pour cadre de nos

travaux de recherche le projet OpenPaaS RSE 64 dans lequel nous avons eacuteteacute chargeacutes de la partie

seacutecurisation des ressources et interactions collaboratives En effet OpenPaaS est une plateforme col-

laborative de type PaaS qui permet agrave diffeacuterentes entreprises de deacuteployer et drsquoutiliser des ressources

logicielles et documentaires Notre travail de gestion de la seacutecuriteacute dans le cadre OpenPaaS couvrent

les aspects Authentification (gestion des identifications) Autorisation (gestion des accreacuteditations) et

Audit (gestion de la reacuteputation et de la confiance) et ce visndashagrave-vis des identiteacutes numeacuteriques qui vont

collaborer

La gestion de lrsquoauthentification des identiteacutes numeacuteriques a eacuteteacute notre premier challenge dans

lrsquoenvironnement OpenPaaS En effet OpenPaaS RSE est baseacute sur la notion de communauteacute qui consiste

en un cercle collaboratif regroupant diffeacuterentes entreprises heacuteteacuterogegravenes en matiegravere de gestion des

identiteacutes numeacuteriques Avec cet aspect drsquoheacuteteacuterogeacuteneacuteiteacute nous avons eu pour objectif drsquoavoir une base

feacutedeacutereacutee de gestion de lrsquoauthentification qui permet agrave chaque partenaire (entreprise) de preacuteserver ses

preacutefeacuterences en matiegravere de protocole de gestion de lrsquoauthentification Pour cela nous nous sommes

baseacutes sur lrsquooutil ldquoLemonLDAP-NGrdquo avec une extension de lrsquoarchitecture de feacutedeacuteration ldquoCredential-

Basedrdquo [32] Ainsi chaque acteur peut rejoindre une communauteacute de collaboration en srsquoauthentifiant

une seule fois (ie authentifiant unique SSO) par le biais du fournisseur drsquoidentiteacute de son entreprise

et avoir par conseacutequent son identiteacute valideacutee aupregraves de toutes les entreprises faisant partie de la


64 httpwwwopen-paasorg

155

Chapitre 9 Conclusion et perspectives

Apregraves la gestion des identiteacutes nous nous sommes focaliseacutes sur la partie la plus importante pour

la seacutecurisation des ressources collaboratives dans un environnement ouvert tel qursquoune communauteacute

RSE agrave savoir la gestion des autorisations drsquoaccegraves aux ressources partageacutees Sur cette partie nous

avons eacuteteacute ameneacutes agrave faire face agrave de nombreux deacutefis dus aux proprieacuteteacutes des environnements collabora-

tifs RSE Nous sommes dans un contexte social destineacute agrave rendre plus fluides les eacutechanges collabora-

tifs Ainsi le premier challenge est de preacuteserver cette fluiditeacute drsquoeacutechanges offerte par lrsquoutilisation des

RSEs Cependant il srsquoagit drsquoun environnement heacuteteacuterogegravene en matiegravere de gestion des autorisations

Cela signifie que la seacutemantique de gestion des profils identitaires des acteurs de collaboration en

matiegravere drsquoaccreacuteditations peut diffeacuterer drsquoune entreprise agrave une autre Par conseacutequent le deacutefi eacutetait de

permettre aux entreprises de deacutefinir des permissions de controcircle drsquoaccegraves flexibles vis-agrave-vis drsquoacteurs

externes

Par ailleurs nous avons constateacute le fait qursquoil peut y a voir plusieurs entiteacutes impliqueacutees dans la

gestion drsquoune ressource collaborative (eg des entreprises des acteurs etc) Cela implique la possi-

biliteacute de combiner plusieurs permissions vis-agrave-vis drsquoune mecircme ressource En outre cette combinai-

son neacutecessite une veacuterification des permissions deacutefinies afin drsquoeacuteviter drsquoeacuteventuelles incoheacuterences dans

le modegravele drsquoautorisation Vu qursquoil srsquoagit drsquoun environnement ubiquitaire cette veacuterification doit par

ailleurs ecirctre peu coucircteuse en temps en coucirct de traitement et en meacutemoire

Pour reacutepondre aux preacuteceacutedentes exigences nous avons deacutefini deux types de politiques de controcircle

drsquoaccegraves agrave savoir les politiques de partage et les politiques de controcircle et ce sur deux niveaux

respectivement le niveau acteur et le niveau entreprise Pour la conception du modegravele de politiques

de controcircle drsquoaccegraves nous nous sommes baseacutes sur un modegravele ABAC ce qui nous a permis drsquoavoir

une bonne flexibiliteacute en matiegravere drsquoattributs qui nous a permis de geacuterer lrsquointeropeacuterabiliteacute pour les

politiques interentreprises

Pour le deacuteveloppement de notre meacutecanisme de controcircle drsquoaccegraves ABAC nous nous sommes ins-

pireacutes du protocole XACML Cependant pour ce faire nous avons opteacute pour un formalisme logique

baseacute sur la logique temporelle du premier ordre Event-Calculus En guise de moteur de raisonne-

ment et veacuterification des coheacuterences des politiques de controcircle drsquoaccegraves nous avons utiliseacute le logiciel

Dec-reasoner baseacute sur le solveur SAT Relsat Lrsquoaspect temporel de la logique Event-Calculus nous a

eacutegalement permis de geacuterer des permissions temporaires auto-reacutevocables agrave savoir les deacuteleacutegations

qui sont tregraves utiles et importantes dans notre contexte RSE

Notre conception du meacutecanisme de controcircle drsquoaccegraves est en reacutealiteacute une extension du modegravele

XACML Cette extension concerne un module de gestion de la confiance des sujets de collabora-

tion au sein de chaque communauteacute Ce modegravele est lrsquoun des principaux fondements des politiques

de controcircle deacutefinies au niveau des entreprises Ces politiques de controcircle permettent aux entreprises

de garder le controcircle sur lrsquoaccegraves agrave leurs ressources partageacutees par leurs acteurs (partage user-centric)

dans le contexte RSE Plus preacuteciseacutement une politique (ie un ensemble de regravegles) drsquoentreprise se

combine aux politiques de partage de ressources afin de permettre aux entreprises drsquoavoir un controcircle

abstrait sur les eacuteventuels changements qui se produisent au sein du contexte de la communauteacute Ces

changements concernent plus preacuteciseacutement la confidentialiteacute des diffeacuterentes ressources partageacutees par

les acteurs et les comportements des acteurs (fraudes usurpation drsquoidentiteacute etc) Pour cela nous

156

92 Perspectives

avons proposeacute un modegravele de gestion baseacute sur un meacutecanisme de eacutevaluation du risque dans lequel

nous avons aligneacute les concepts fondamentaux de gestion du risque agrave savoir la menace lrsquoimpact et

la vulneacuterabiliteacute avec ceux du controcircle drsquoaccegraves et du contextes RSE agrave savoir la confiance numeacuterique

le nombre drsquoautorisationsproprieacutetaires et lrsquoauthenticiteacute des identiteacutes respectivement

Les politiques drsquoentreprises sont baseacutees sur des paramegravetres dynamiques Cela donne par conseacute-

quent un aspect dynamique agrave notre meacutecanisme de controcircle drsquoaccegraves En effet pour lrsquoeacutevaluation de

la menace drsquoune requecircte reccedilue le meacutecanisme de gestion du risque se base sur une eacutevaluation dyna-

mique et continue de la confiance que reflegravete le sujet de la requecircte Crsquoest pourquoi nous avons conccedilu

un meacutecanisme drsquoeacutevaluation de la confiance baseacute sur une eacutevaluation dynamique et continue de la

reacuteputation de chaque acteur de collaboration Lrsquoeacutevaluation de la reacuteputation est quant agrave elle baseacutee

sur lrsquohistorique de comportement et les informations de session courante concernant les tentatives

illeacutegales drsquoaccegraves drsquoun acteur

Enfin nous avons implanteacute et inteacutegreacute les prototypes des trois composants de seacutecuriteacute AAA 65 dans

la plateforme OpenPaaS La mise en œuvre de ces modules est baseacutee sur des services web

92 Perspectives

Nos contributions dans cette thegravese pour le projet OpenPaaS RSE couvrent les aspects essentiels

de la seacutecuriteacute agrave savoir lrsquoauthentification lrsquoautorisation et la supervision Cependant il reste quelques

deacutetails et ameacuteliorations que nous nrsquoavons pas traiteacutes dans le cadre de cette thegravese donnant ainsi une

ouverture agrave plusieurs perspectives Les ameacuteliorations peuvent ecirctre apporteacutees sur les trois axes de

recherche (Authentification Autorisation et Audit) abordeacutes dans cette thegravese

Drsquoabord sur lrsquoaspect authentification il est possible de travailler sur la conception drsquoune meacutethode

baseacutee sur la cryptographie pour eacutetablir un lien robuste entre lrsquoidentifiant interne et les identifiants

externes drsquoun sujet de collaboration Cela permettra de renforcer davantage la certification de lrsquoau-

thenticiteacute de lrsquoidentiteacute et reacuteduire le risque drsquousurpation drsquoidentiteacute Des ameacuteliorations niveau prototype

drsquoauthentification sont eacutegalement envisageables Car pour lrsquoinstant nous nrsquoavons testeacute notre modegravele

de feacutedeacuteration interopeacuterable baseacute sur LemonLDAP-NG qursquoavec le meacutecanisme loginmot-de-passe il sera

eacutegalement inteacuteressant de voir comment le systegraveme se comporte avec drsquoautres configurations en ma-

tiegravere de protocole de gestion de lrsquoauthentification

Ensuite sur lrsquoaspect autorisation il est possible drsquoeacutetendre notre meacutecanisme de deacuteleacutegation et ameacute-

liorer les performances en temps de traitement des politiques drsquoautorisation En effet le raisonneur

Dec-reasoner est baseacute sur un solveur SAT qui consomme beaucoup de temps pour lrsquoencodage (pro-

blegraveme NP-complet) Par conseacutequent vu le temps de traitement par le Dec-reasoner il devient presque

impossible de raisonner sur des intervalles temporels assez long (eg dizaines de minutes) Une solu-

tion peut ecirctre la technique de meacutemoisation qui consiste agrave enregistrer lrsquoeacutetat drsquoun systegraveme agrave un instant

donneacute et de le reacuteutiliser par la suite plutocirct que de le recalculer ie reacutecursiviteacute Cela permet drsquooptimi-

ser le coucirct de traitement drsquoune fonction en suspendant son exeacutecution et la relancer sur la base des

65 Authentification Autorisation et Audit

157


reacutesultats obtenus aux preacuteceacutedents calculs Par exemple ce principe de reacutecursiviteacute est utiliseacute dans le

calcul de la suite de Fibonacci Dans notre contexte la meacutemoisation de la fonction du raisonnement

sur les preacutedicats Event-Calculus (ie lrsquoencodage SAT) peut ecirctre baseacutee sur lrsquoarriveacutee drsquoune nouvelle re-

quecircte pour deacuteterminer lrsquoeacutetat du systegraveme (ie les fluents) et le stocker Ensuite relancer le processus

de raisonnement sur la base des eacutetats anteacuterieurs du systegraveme et ce agrave lrsquoarriveacutee de chaque nouvelle

requecircte drsquoun sujet de collaboration

Dans le mecircme cadre du controcircle drsquoaccegraves il est eacutegalement possible drsquoenvisager des permissions

inter-communauteacutes Plus preacuteciseacutement un acteur peut transfeacuterer (migrer) certaines de ses permis-

sions valables depuis une communauteacute qursquoil souhaite quitter vers une nouvelle communauteacute qursquoil

souhaite rejoindre Par ailleurs nous consideacuterons les deacuteleacutegations externes entre acteurs uniquement

sur un seul niveau En drsquoautres termes nous nrsquoavons pas eacutetudieacute dans notre proposition lrsquoeacuteventualiteacute

qursquoun acteur deacuteleacutegueacute puisse re-deacuteleacuteguer ses droits deacuteleacutegueacutes ie agir en tant que deacuteleacutegataire sur des

droits qui lui sont deacuteleacutegueacutes Une deacuteleacutegation multi-niveau peut ecirctre pratique notamment dans un

large environnement tel qursquoun RSE Concernant les deacuteleacutegations internes nous nrsquoavons pas abordeacute

les politiques drsquohabilitation et de qualification drsquoune entreprise vis-agrave-vis de ses acteurs internes

Enfin concernant la derniegravere partie drsquoaudit et supervision nous avons omis le traitement de cer-

tains paramegravetres et nous avons proposeacute qursquoils soient deacutefinis drsquoune maniegravere subjective En effet pour

cette partie nous nous sommes baseacutes sur un meacutecanisme de gestion du risque dans lequel les para-

megravetres concerneacutes sont les vulneacuterabiliteacutes de lrsquoenvironnement collaboratif et le seuil de toleacuterance de

risque Concernant le deuxiegraveme paramegravetre (ie le seuil) de nombreuses techniques peuvent ecirctre uti-

liseacutees telles que Coast [47] ou lrsquoeacutevaluation des dommages (damages) [154 143] voire mecircme des

techniques de seuil dynamique et adaptatif [42 41] Quant au premier paramegravetre concernant les

vulneacuterabiliteacutes de nombreux paramegravetres peuvent srsquoaveacuterer aussi importants que la fiabiliteacute du meacuteca-

nisme drsquoauthentification comme par exemple la profondeur maximale de redeacuteleacutegation autoriseacutee au

sein de la communauteacute en question La deacuteleacutegation multi-niveau peut eacutegalement changer lrsquoimpact qui

fait eacutegalement partie des paramegravetres du risque sur les ressources collaboratives Lrsquoautre paramegravetre

dans la gestion du risque est la menace qui est baseacutee sur la confiance drsquoun acteur En effet lrsquoeacutevalua-

tion de la confiance est fondeacutee sur les donneacutees historiques drsquointeractions de lrsquoacteur au sein drsquoune

communauteacute Sachant qursquoun acteur peut faire partie de plusieurs communauteacutes (indeacutependantes) en

mecircme temps les informations neacutecessaires pour lrsquoeacutevaluation de la confiance peuvent ecirctre transfeacutereacutees

drsquoune communauteacute agrave une autre En outre il serait eacutegalement inteacuteressant que les informations histo-

riques drsquointeractions subissent un preacute-traitement afin de mieux les adapter en vue drsquoune exploitation

objective dans le processus drsquoeacutevaluation de la confiance numeacuterique

158

Bibliographie

[1] Caracteacuteristiques drsquoopenpaas Collaboratio paas httpswwwlinagorafropenpaas

[2] Educause things you should know about federated identity management httpnet

educauseeduirlibrarypdfEST0903pdf

[3] EmpowerID ws-trust and ws-federation httpswwwempoweridcom

learningcenterstandardsws-trust-fed

[4] Microsoft understanding ws-federation httpsmsdnmicrosoftcomen-us

librarybb498017aspxwsfedver1_topic3

[5] XACML-Studio (XS) httpxacml-studiosourceforgenet [Online accessed 16-

November-2015]

[6] ASNZS 4360 SET Risk Management AustralianNew Zealand Standards 2004

[7] The epSOS project A european ehealth project httpwwwepsoseu 2009 [Online acces-

sed 16-November-2015]

[8] The Nationwide Health Information Network (NHIN) an American eHealth Project http

healthithhsgovportalserverpt 2009 [Online accessed 16-November-2015]

[9] OAuth20 httpoauthnetabout 2015 [Online accessed 08-December-2015]

[10] Preacutesentation drsquoOAuth httpssupportgooglecomaanswer61017hl=fr mars

7 2014 [Online accessed 08-December-2015]

[11] M Abadi M Burrows B Lampson and G Plotkin A calculus for access control in distributed systems

ACM Transactions on Programming Languages and Systems (TOPLAS) 15(4) 706ndash734 1993

[12] A Abdul-Rahman and S Hailes Supporting trust in virtual communities In System Sciences 2000Proceedings of the 33rd Annual Hawaii International Conference on pages 9ndashpp IEEE 2000

[13] J-R Abrial Modeling in Event-B system and software engineering Cambridge University Press 2010

[14] W J Adams and N J Davis Toward a decentralized trust-based access control system for dynamic

collaboration In Information Assurance Workshop 2005 IAWrsquo05 Proceedings from the Sixth AnnualIEEE SMC pages 317ndash324 IEEE 2005

[15] A Ahmed Nacer E Goettelmann S Youcef A Tari and C Godart Business process design by reusing

business process fragments from the cloud In The 8th IEEE International Conference on Service OrientedComputing and Applications page 8 IEEE 2015

[16] G-J Ahn and R Sandhu The rsl99 language for role-based separation of duty constraints In Procee-dings of the fourth ACM workshop on Role-based access control pages 43ndash54 ACM 1999

[17] A A Almutairi M I Sarfraz S Basalamah W G Aref and A Ghafoor A distributed access control

architecture for cloud computing IEEE software (2) 36ndash44 2011

159

Bibliographie

[18] F T Alotaiby and J X Chen A model for team-based access control (tmac 2004) In Information Tech-nology Coding and Computing 2004 Proceedings ITCC 2004 International Conference on volume 1

pages 450ndash454 IEEE 2004

[19] R Ausanka-Crues Methods for access control advances and limitations Harvey Mudd College 301

2001

[20] R Baden A Bender N Spring B Bhattacharjee and D Starin Persona an online social network with

user-defined privacy In ACM SIGCOMM Computer Communication Review volume 39 pages 135ndash146

ACM 2009

[21] A K Bandara E C Lupu and A Russo Using event calculus to formalise policy specification and

analysis In Policies for Distributed Systems and Networks 2003 Proceedings POLICY 2003 IEEE 4thInternational Workshop on pages 26ndash39 IEEE 2003

[22] E Barka and R Sandhu Framework for role-based delegation models In Computer Security Applica-tions 2000 ACSACrsquo00 16th Annual Conference pages 168ndash176 IEEE 2000

[23] E Barka and R Sandhu Role-based delegation modelhierarchical roles (rbdm1) In Computer SecurityApplications Conference 2004 20th Annual pages 396ndash404 IEEE 2004

[24] E Barka R Sandhu et al A role-based delegation model and some extensions In 23rd NationalInformation Systems Security Conference pages 396ndash404 Citeseer 2000

[25] D E Bell and L J La Padula Secure computer system Unified exposition and multics interpretation

Technical report DTIC Document 1976

[26] M Ben Ghorbel-Talbi F Cuppens N Cuppens-Boulahia and A Bouhoula Managing delegation in

access control models In Advanced Computing and Communications 2007 ADCOM 2007 InternationalConference on pages 744ndash751 IEEE 2007

[27] E Bertino P A Bonatti and E Ferrari Trbac A temporal role-based access control model ACMTransactions on Information and System Security (TISSEC) 4(3) 191ndash233 2001

[28] E Bertino B Catania E Ferrari and P Perlasca A logical framework for reasoning about access control

models ACM Transactions on Information and System Security (TISSEC) 6(1) 71ndash127 2003

[29] R Bhatia J Lobo and M Kohli Policy evaluation for network management In INFOCOM 2000Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies ProceedingsIEEE volume 3 pages 1107ndash1116 IEEE 2000

[30] K J Biba Integrity considerations for secure computer systems Technical report DTIC Document

1977

[31] A Bielenberg L Helm A Gentilucci D Stefanescu and H Zhang The growth of diaspora-a decentra-

lized online social network in the wild In Computer Communications Workshops (INFOCOM WKSHPS)2012 IEEE Conference on pages 13ndash18 IEEE 2012

[32] E Birrell and F B Schneider Federated identity management systems A privacy-based characteriza-

tion 2012

[33] B Blakley The emperorrsquos old armor In Proceedings of the 1996 workshop on New security paradigmspages 2ndash16 ACM 1996

[34] M Blaze J Feigenbaum and A D Keromytis Keynote Trust management for public-key infrastruc-

tures In Security Protocols pages 59ndash63 Springer 1999

[35] M Blaze J Feigenbaum and J Lacy Decentralized trust management In Security and Privacy 1996Proceedings 1996 IEEE Symposium on pages 164ndash173 IEEE 1996

160

[36] M Blaze J Feigenbaum and M Strauss Compliance checking in the policymaker trust management

system In Financial cryptography pages 254ndash274 Springer 1998

[37] R V Boppana H Maynard and J Niu Attribute-based access control models and implementation in

cloud infrastructure as a service 2014

[38] A Bouchami E Goettelmann O Perrin and C Godart Enhancing access-control with risk-metrics

for collaboration on social cloud-platforms In 2015 IEEE TrustComBigDataSEISPA Helsinki FinlandAugust 20-22 2015 Volume 1 pages 864ndash871 2015

[39] A Bouchami and O Perrin Access control framework within a collaborative paas platform In EnterpriseInteroperability VI pages 465ndash476 Springer 2014

[40] A Bouchami O Perrin and E Zahoor Trust-based formal delegation framework for enterprise social

networks In 2015 IEEE TrustComBigDataSEISPA Helsinki Finland August 20-22 2015 Volume 1

pages 127ndash134 2015

[41] M-R Bouguelia Y Belaiumld and A Belaiumld Efficient active novel class detection for data stream classifi-

cation In ICPR-International Conference on Pattern Recognition pages 2826ndash2831 IEEE 2014

[42] M-R Bouguelia Y Belaiumld and A Belaiumld An adaptive streaming active learning strategy based on

instance weighting Pattern Recognition Letters 70 38ndash44 2016

[43] D F Brewer and M J Nash The chinese wall security policy In Security and Privacy 1989 Proceedings1989 IEEE Symposium on pages 206ndash214 IEEE 1989

[44] D W Britton and I A Brown A security risk measurement for the radac model Technical report DTIC

Document 2007

[45] J Bryans Reasoning about xacml policies using csp In SWS pages 28ndash35 2005

[46] S Buchegger and J-Y Le Boudec A robust reputation system for peer-to-peer and mobile ad-hoc

networks In P2PEcon 2004 number LCA-CONF-2004-009 2004

[47] V Cahill Using trust for secure collaboration in uncertain environments 2003

[48] Capterra Top Social Networking Software Products httpwwwcapterracom

social-networking-software 2008-2015 [Online accessed 27-October-2015]

[49] B Carminati E Ferrari and A Perego Rule-based access control for social networks In On the Moveto Meaningful Internet Systems 2006 OTM 2006 Workshops pages 1734ndash1744 Springer 2006

[50] B Carminati E Ferrari and A Perego Enforcing access control in web-based social networks ACMTransactions on Information and System Security (TISSEC) 13(1) 6 2009

[51] S Chakraborty and I Ray Trustbac integrating trust relationships into the rbac model for access

control in open systems In Proceedings of the eleventh ACM symposium on Access control models andtechnologies pages 49ndash58 ACM 2006

[52] A K Chandra and D Harel Horn clause queries and generalizations The Journal of Logic Programming

2(1) 1ndash15 1985

[53] Y Cheng J Park and R Sandhu Relationship-based access control for online social networks Beyond

user-to-user relationships In Privacy Security Risk and Trust (PASSAT) 2012 International Conferenceon and 2012 International Confernece on Social Computing (SocialCom) pages 646ndash655 IEEE 2012

[54] D D Clark and D R Wilson A comparison of commercial and military computer security policies In

Security and Privacy 1987 IEEE Symposium on pages 184ndash184 IEEE 1987

[55] W Clocksin and C S Mellish Programming in PROLOG Springer Science amp Business Media 2003

161

Bibliographie

[56] M Colombo F Martinelli P Mori M Petrocchi and A Vaccarelli Fine grained access control with trust

and reputation management for globus In On the Move to Meaningful Internet Systems 2007 CoopISDOA ODBASE GADA and IS pages 1505ndash1515 Springer 2007

[57] C Connolly Managing privacy in identity managementndashthe way forward

[58] J Crampton and H Khambhammettu Delegation in role-based access control International Journalof Information Security 7(2) 123ndash136 2008

[59] M L Crossley The desk reference of statistical quality methods ASQ Quality Press 2000

[60] F Cuppens and A Miegravege Administration model for or-bac In On The Move to Meaningful InternetSystems 2003 OTM 2003 Workshops pages 754ndash768 Springer 2003

[61] F Cuppens and A Miegravege Modelling contexts in the or-bac model In Computer Security ApplicationsConference 2003 Proceedings 19th Annual pages 416ndash425 IEEE 2003

[62] L A Cutillo R Molva and T Strufe Safebook A privacy-preserving online social network leveraging

on real-life trust Communications Magazine IEEE 47(12) 94ndash101 2009

[63] N Damianou N Dulay E Lupu and M Sloman The ponder policy specification language In Policiesfor Distributed Systems and Networks pages 18ndash38 Springer 2001

[64] M I Daud D Saacutenchez and A Viejo Ontology-based delegation of access control An enhancement to

the xacml delegation profile In Trust Privacy and Security in Digital Business pages 18ndash29 Springer

2015

[65] C De Laat G Gross L Gommans J Vollbrecht and D Spence Generic aaa architecture Technical

report 2000

[66] Y Demchenko C De Laat L Gommans and R V Buuren Domain based access control model for

distributed collaborative applications In e-Science and Grid Computing 2006 e-Sciencersquo06 Second IEEEInternational Conference on pages 24ndash24 IEEE 2006

[67] N Dimmock J Bacon D Ingram and K Moody Risk models for trust-based access control (tbac) In

Trust Management pages 364ndash371 Springer 2005

[68] N Dimmock A Belokosztolszki D Eyers J Bacon and K Moody Using trust and risk in role-based

access control policies In Proceedings of the ninth ACM symposium on Access control models and techno-logies pages 156ndash162 ACM 2004

[69] J Domingo-Ferrer A public-key protocol for social networks with private relationships In ModelingDecisions for Artificial Intelligence pages 373ndash379 Springer 2007

[70] D R dos Santos C M Westphall and C B Westphall Risk-based dynamic access control for a highly

scalable cloud federation In 7th International Conference on Emerging Security Information Systems andTechnologies pages 8ndash13 2013

[71] A A El Kalam Modegraveles et politiques de seacutecuriteacute pour les domaines de la santeacute et des affaires sociales PhD

thesis Institut National Polytechnique de Toulouse-INPT 2003

[72] A A El Kalam and Y Deswarte Multi-orbac A new access control model for distributed heterogeneous

and collaborative systems In 8th IEEE International Symposium on Systems and Information Security

2006

[73] W Ellis and D Hersh Xacml 30 analysis 2015

[74] N B Ellison et al Social network sites Definition history and scholarship Journal of Computer-Mediated Communication 13(1) 210ndash230 2007

162

[75] A B Fadhel D Bianculli and L Briand A comprehensive modeling framework for role-based access

control policies Journal of Systems and Software 2015

[76] D Ferraiolo D R Kuhn and R Chandramouli Role-based access control Artech House 2003

[77] Fido authentication httpwwwfidoallianceorg

[78] B S Firozabadi M Sergot and O Bandmann Using authority certificates to create management

structures In Security Protocols pages 134ndash145 Springer 2002

[79] K Gaaloul H A Proper and F Charoy Delegation protocols in human-centric workflows In Commerceand Enterprise Computing (CEC) 2011 IEEE 13th Conference on pages 219ndash224 IEEE 2011

[80] M Gaedke J Meinecke and M Nussbaumer A modeling approach to federated identity and access

management In Special interest tracks and posters of the 14th international conference on World WideWeb pages 1156ndash1157 ACM 2005

[81] D Gambetta Can we trust trust Trust Making and breaking cooperative relations 2000 213ndash237

2000

[82] M Gasser and E McDermott An architecture for practical delegation in a distributed system In

Research in Security and Privacy 1990 Proceedings 1990 IEEE Computer Society Symposium on pages

20ndash30 IEEE 1990

[83] C K Georgiadis I Mavridis G Pangalos and R K Thomas Flexible team-based access control using

contexts In Proceedings of the sixth ACM symposium on Access control models and technologies pages

21ndash27 ACM 2001


contexts In SACMAT pages 21ndash27 2001

[85] P D Giang L X Hung S Lee Y-K Lee and H Lee A flexible trust-based access control mechanism

for security and privacy enhancement in ubiquitous systems In Multimedia and Ubiquitous Engineering2007 MUErsquo07 International Conference on pages 698ndash703 IEEE 2007

[86] H Gladney Access control for large collections ACM Transactions on Information Systems (TOIS)

15(2) 154ndash194 1997

[87] E Goettelmann N Mayer and C Godart Integrating security risk management into business process

management for the cloud In Business Informatics (CBI) 2014 IEEE 16th Conference on volume 1


[88] L Gonzaacutelez-Manzano A I Gonzaacutelez-Tablas J M de Fuentes and A Ribagorda Cooped Co-owned

personal data management Computers amp Security 47 41ndash65 2014

[89] M Gregg CISSP Exam Cram 2 Que Corp 2005

[90] P Hallam-Baker Security assertions markup language May 14 1ndash24 2001

[91] W Han and C Lei A survey on policy languages in network and security management ComputerNetworks 56(1) 477ndash489 2012

[92] D Hardt The oauth 20 authorization framework 2012

[93] M A Harrison W L Ruzzo and J D Ullman Protection in operating systems Communications of theACM 19(8) 461ndash471 1976

[94] V C Hu D Ferraiolo R Kuhn A Schnitzer K Sandlin R Miller and K Scarfone Guide to attribute

based access control (abac) definition and considerations NIST Special Publication 800 162 2014

163

Bibliographie

[95] V C Hu D R Kuhn and D F Ferraiolo Attribute-based access control Computer (2) 85ndash88 2015

[96] W-K Huang and V Atluri Secureflow a secure web-enabled workflow management system In

Proceedings of the fourth ACM workshop on Role-based access control pages 83ndash94 ACM 1999

[97] D Jackson Software Abstractions logic language and analysis MIT press 2012

[98] S Jajodia P Samarati M L Sapino and V Subrahmanian Flexible support for multiple access control

policies ACM Transactions on Database Systems (TODS) 26(2) 214ndash260 2001

[99] S Jajodia P Samarati and V Subrahmanian A logical language for expressing authorizations In

Security and Privacy 1997 Proceedings 1997 IEEE Symposium on pages 31ndash42 IEEE 1997

[100] S Jajodia P Samarati and V S Subrahmanian A logical language for expressing authorizations In

IEEE Symposium on Security and Privacy pages 31ndash42 1997

[101] X Jin Attribute-based access control models and implementation in cloud infrastructure as a service THE

UNIVERSITY OF TEXAS AT SAN ANTONIO 2014

[102] A K Jones R J Lipton and L Snyder A linear time algorithm for deciding security In Foundationsof Computer Science 1976 17th Annual Symposium on pages 33ndash41 IEEE 1976

[103] A Joslashsang Trust and reputation systems In Foundations of security analysis and design IV pages 209ndash

245 Springer 2007

[104] A Joslashsang R Ismail and C Boyd A survey of trust and reputation systems for online service provision

Decision support systems 43(2) 618ndash644 2007

[105] J B Joshi and E Bertino Fine-grained role-based delegation in presence of the hybrid role hierarchy

In Proceedings of the eleventh ACM symposium on Access control models and technologies pages 81ndash90

ACM 2006

[106] J B Joshi E Bertino and A Ghafoor Temporal hierarchies and inheritance semantics for gtrbac In

Proceedings of the seventh ACM symposium on Access control models and technologies pages 74ndash83 ACM

2002

[107] A Jsang and R Ismail The beta reputation system In Proceedings of the 15th bled electronic commerceconference pages 41ndash55 2002

[108] L Kagal T Finin and A Joshi A policy language for a pervasive computing environment In Policiesfor Distributed Systems and Networks 2003 Proceedings POLICY 2003 IEEE 4th International Workshopon pages 63ndash74 IEEE 2003

[109] L Kagal T Finin and Y Peng A delegation based model for distributed trust In Workshop on AutonomyDelegation and Control Interacting with Autonomous Agents International Joint Conferences on ArtificialIntelligence 2001

[110] P Kaila Oauth and openid 20 From End-to-End to Trust-to-Trust page 18 2008

[111] A A E Kalam R Baida P Balbiani S Benferhat F Cuppens Y Deswarte A Miege C Saurel and

G Trouessin Organization based access control In Policies for Distributed Systems and Networks 2003Proceedings POLICY 2003 IEEE 4th International Workshop on pages 120ndash131 IEEE 2003

[112] S Kandala R Sandhu and V Bhamidipati An attribute based framework for risk-adaptive access

control models In Availability Reliability and Security (ARES) 2011 Sixth International Conference on


[113] D E Knuth Backus normal form vs backus naur form Communications of the ACM 7(12) 735ndash736

1964

164

[114] V Kolovski J A Hendler and B Parsia Analyzing web access control policies In WWW pages 677ndash

686 2007

[115] P Konopacki M Frappier and R Laleau Expressing access control policies with an event-based ap-

proach In CAiSE Workshops pages 607ndash621 Springer 2011

[116] R Kowalski and M Sergot A logic-based calculus of events In Foundations of knowledge base mana-gement pages 23ndash55 Springer 1989

[117] D R Kuhn E J Coyne and T R Weil Adding attributes to role-based access control Computer(6) 79ndash81 2010

[118] T Kurze M Klems D Bermbach A Lenk S Tai and M Kunze Cloud federation In Proceedings ofthe 2nd International Conference on Cloud Computing GRIDs and Virtualization (CLOUD COMPUTING2011) 2011

[119] B W Lampson Protection ACM SIGOPS Operating Systems Review 8(1) 18ndash24 1974

[120] G Lawton Developing software online with platform-as-a-service technology Computer 41(6) 13ndash15

2008

[121] A Lazouski F Martinelli and P Mori Usage control in computer security A survey Computer ScienceReview 4(2) 81ndash99 2010

[122] H Lee I Jeun and H Jung Criteria for evaluating the privacy protection level of identity manage-

ment services In Emerging Security Information Systems and Technologies 2009 SECURWARErsquo09 ThirdInternational Conference on pages 155ndash160 IEEE 2009

[123] R Lepro Cardea Dynamic access control in distributed systems System 13(13) 4ndash2 2004

[124] H Levesque F Pirri and R Reiter Foundations for the situation calculus Linkoumlping Electronic Articlesin Computer and Information Science 3(18) 1998

[125] N Li and J C Mitchell Datalog with constraints A foundation for trust management languages In

Practical Aspects of Declarative Languages pages 58ndash73 Springer 2003

[126] N Li and J C Mitchell A role-based trust-management framework In null page 201 IEEE 2003

[127] Y Liu Trust-based access control for collaborative system In Computing Communication Controland Management 2008 CCCMrsquo08 ISECS International Colloquium on volume 1 pages 444ndash448 IEEE

2008

[128] Z Liu W Sun and M Alam A flexible role-based delegation model with dynamic delegation role

structure

[129] lemonldap-ng references httplemonldap-ngorgreferences

[130] Cleacutement OUDOT lemonldap ng un websso libre httpfrslidesharenetcoudot

lemonldapng-un-websso-librefrom_search=19

[131] J Lobo R Bhatia and S A Naqvi A policy description language In AAAIIAAI pages 291ndash298 1999

[132] Ldap synchronization connector wiki httplsc-projectorgwikiaboutstart

[133] J Lu D Xu L Jin J Han and H Peng On the complexity of role updating feasibility problem in rbac

Information Processing Letters 114(11) 597ndash602 2014

[134] W Luo and E Rosen Method and system for providing authorization authentication and accounting

for a virtual private network Dec 23 2008 US Patent 7469294

[135] K Lyytinen and Y Yoo Ubiquitous computing Communications of the ACM 45(12) 63ndash96 2002

165

Bibliographie

[136] M P Machulak E L Maler D Catalano and A Van Moorsel User-managed access to web resources

In Proceedings of the 6th ACM workshop on Digital identity management pages 35ndash44 ACM 2010

[137] E Maler et al Assertions and protocols for the oasis security assertion markup language (saml) OASISSeptember 2003

[138] M Mankai and L Logrippo Access control policies Modeling and validation In 5th NOTERE Conference(Nouvelles Technologies de la Reacutepartition) pages 85ndash91 2005

[139] M Masi R Pugliese and F Tiezzi Formalisation and implementation of the xacml access control

mechanism In Engineering Secure Software and Systems pages 60ndash74 Springer 2012

[140] N Mayer Model-based Management of Information System Security Risk PhD thesis University of

Namur Apr 2009

[141] K McNamara Rational fictions central bank independence and the social logic of delegation Westeuropean politics 25(1) 47ndash76 2002

[142] N H Minsky The imposition of protocols over open distributed systems Software Engineering IEEETransactions on 17(2) 183ndash195 1991

[143] I Molloy L Dickens C Morisset P-C Cheng J Lobo and A Russo Risk-based security decisions

under uncertainty In Proceedings of the second ACM conference on Data and Application Security andPrivacy pages 157ndash168 ACM 2012

[144] G Mori F Paternograve and C Santoro Ctte support for developing and analyzing task models for

interactive system design Software Engineering IEEE Transactions on 28(8) 797ndash813 2002

[145] T Moses et al Extensible access control markup language (xacml) version 20 Oasis Standard 200502

2005

[146] E T Mueller Discrete event calculus reasoner documentation Software documentation IBM ThomasJ Watson Research Center PO Box 704 2008

[147] E T Mueller Commonsense reasoning Morgan Kaufmann 2010

[148] E T Mueller Commonsense Reasoning An Event Calculus Based Approach Morgan Kaufmann 2014

[149] L Mui M Mohtashemi and A Halberstadt A computational model of trust and reputation In SystemSciences 2002 HICSS Proceedings of the 35th Annual Hawaii International Conference on pages 2431ndash

2439 IEEE 2002

[150] R Nasim and S Buchegger Xacml-based access control for decentralized online social networks In

Proceedings of the 2014 IEEEACM 7th International Conference on Utility and Cloud Computing pages

671ndash676 IEEE Computer Society 2014

[151] National Institute of Standards and Technology Information Security - Guide for Conducting Risk

Assessments 2002

[152] T N Nguyen K T L Thi A T Dang H D S Van and T K Dang Towards a flexible framework

to support a generalized extension of xacml for spatio-temporal rbac model with reasoning ability In

ICCSA (5) 2013

[153] Q Ni and E Bertino xfacl an extensible functional language for access control In SACMAT pages

61ndash72 2011

[154] Q Ni E Bertino and J Lobo Risk-based access control systems built on fuzzy inferences In Proceedingsof the 5th ACM Symposium on Information Computer and Communications Security pages 250ndash260

ACM 2010

166

[155] OASIS XACML30 httpdocsoasis-openorgxacml30xacml-3

0-administration-v1-spec-cd-1-enhtml_Toc230521654 2013 [Online

accessed 28-September-2015]

[156] J Park and R Sandhu The ucon abc usage control model ACM Transactions on Information and SystemSecurity (TISSEC) 7(1) 128ndash174 2004

[157] J S Park R Sandhu and G-J Ahn Role-based access control on the web ACM Transactions onInformation and System Security (TISSEC) 4(1) 37ndash71 2001

[158] S Poslad Ubiquitous computing smart devices environments and interactions John Wiley amp Sons

2011

[159] S Radack Risk management framework Helping organizations implement effective information se-

curity programs INS Whitepaper Santa Clara INS 2009

[160] P Rao D Lin E Bertino N Li and J Lobo An algebra for fine-grained integration of xacml policies

In Proceedings of the 14th ACM symposium on Access control models and technologies pages 63ndash72 ACM

2009

[161] I Ray and M Toahchoodee A spatio-temporal access control model supporting delegation for pervasive

computing applications In Trust Privacy and Security in Digital Business pages 48ndash58 Springer 2008

[162] D Recordon and B Fitzpatrick Openid authentication 20-final 2007

[163] G Richard De la confiance article paru dans la revue Lrsquoenseignement philosophique 50e anneacutee n5 2000

2000

[164] E Rissanen extensible access control markup language (xacml) version 30 2013

[165] C Ruan and V Varadharajan Dynamic delegation framework for role based access control in distributed

data management systems Distributed and Parallel Databases 32(2) 245ndash269 2014

[166] A Russo R Miller B Nuseibeh and J Kramer An abductive approach for analysing event-based requi-rements specifications Springer 2002

[167] J A Russo and R Yates Time limited collaborative community role delegation policy Aug 19 2008

US Patent 7415498

[168] M B Saidi and A Marzouk Multi-trust_orbac Access control model for multi-organizational critical

systems migrated to the cloud 2013

[169] R Sandhu D Ferraiolo and R Kuhn The nist model for role-based access control towards a unified

standard In ACM workshop on Role-based access control volume 2000 2000

[170] R S Sandhu Expressive power of the schematic protection model Journal of Computer Security

1(1) 59ndash98 1992

[171] R S Sandhu Lattice-based access control models Computer 26(11) 9ndash19 1993

[172] R S Sandhu E J Coyne H L Feinstein and C E Youman Role-based access control models Com-puter 29(2) 38ndash47 1996

[173] R S Sandhu and P Samarati Access control principle and practice Communications Magazine IEEE

32(9) 40ndash48 1994

[174] V Sassone K Krukow and M Nielsen Towards a formal framework for computational trust In FormalMethods for Components and Objects pages 175ndash184 Springer 2007

167

Bibliographie

[175] L Schwittmann C Boelmann M Wander and T Weis Sonetndashprivacy and replication in federated

online social networks In Distributed Computing Systems Workshops (ICDCSW) 2013 IEEE 33rd Inter-national Conference on pages 51ndash57 IEEE 2013

[176] L Seitz E Rissanen T Sandholm B S Firozabadi and O Mulmo Policy administration control and

delegation using xacml and delegent In Proceedings of the 6th IEEEACM International Workshop onGrid Computing pages 49ndash54 IEEE Computer Society 2005

[177] S-W Seong J Seo M Nasielski D Sengupta S Hangal S K Teh R Chu B Dodson and M S

Lam Prpl a decentralized social networking infrastructure In Proceedings of the 1st ACM Workshopon Mobile Cloud Computing amp Services Social Networks and Beyond page 8 ACM 2010

[178] R A Shaikh K Adi and L Logrippo Dynamic risk-based decision methods for access control systems

Computers amp Security 31(4) 447ndash464 2012

[179] M Shanahan The event calculus explained In Artificial intelligence today pages 409ndash430 Springer

1999

[180] R Sharma and A Datta Supernova Super-peers based architecture for decentralized online social

networks In Communication Systems and Networks (COMSNETS) 2012 Fourth International Conferenceon pages 1ndash10 IEEE 2012

[181] S S Shim G Bhalla and V Pendyala Federated identity management Computer 38(12) 120ndash122

2005

[182] W W Smari P Clemente and J-F Lalande An extended attribute based access control model with trust

and privacy Application to a collaborative crisis management system Future Generation ComputerSystems 31 147ndash168 2014

[183] W L Teacy J Patel N R Jennings and M Luck Travos Trust and reputation in the context of

inaccurate information sources Autonomous Agents and Multi-Agent Systems 12(2) 183ndash198 2006

[184] Q N T Thi and T K Dang X-strowl A generalized extension of xacml for context-aware spatio-

temporal rbac model with owl In Digital Information Management (ICDIM) 2012 Seventh InternationalConference on pages 253ndash258 IEEE 2012

[185] R K Thomas Team-based access control (tmac) a primitive for applying role-based access controls

in collaborative environments In Proceedings of the second ACM workshop on Role-based access controlpages 13ndash19 ACM 1997

[186] J E Tidswell and T Jaeger Integrated constraints and inheritance in dtac In Symposium on AccessControl Models and Technologies Proceedings of the fifth ACM workshop on Role-based access controlvolume 26 pages 93ndash102 2000

[187] J-Y Tigli S Lavirotte G Rey V Hourdin and M Riveill Context-aware authorization in highly dyna-

mic environments arXiv preprint arXiv 11025194 2011

[188] H F Tipton and M Krause Information security management handbook CRC Press 2003

[189] K Toumi C Andreacutes and A Cavalli Trust-orbac A trust access control model in multi-organization

environments In Information Systems Security pages 89ndash103 Springer 2012

[190] H T T Truong A Contract-based and Trust-aware Collaboration Model PhD thesis Universiteacute de

Lorraine 2012

[191] P Tsankov S Marinovic M T Dashti and D Basin Decentralized composite access control Springer

2014

168

[192] S University of Murcia (UMU) UMU-XACML-Edito version 132 httpumu-xacmleditor

sourceforgenet 2009 [Online accessed 16-November-2015]

[193] H D S Van T A Dang and T K Dang Supporting authorization reasoning based on role and resource

hierarchies in an ontology-enriched xacml model International Journal of Computer and Communica-tion Engineering 3(3) 155 2014

[194] Q Wang and H Jin Quantified risk-adaptive access control for patient privacy protection in health

information systems In Proceedings of the 6th ACM Symposium on Information Computer and Commu-nications Security pages 406ndash410 ACM 2011

[195] W Wang Team-and-role-based organizational context and access control for cooperative hypermedia

environments In Proceedings of the tenth ACM Conference on Hypertext and hypermedia returning toour diverse roots returning to our diverse roots pages 37ndash46 ACM 1999

[196] N Yang H Barringer and N Zhang A purpose-based access control model In Information Assuranceand Security 2007 IAS 2007 Third International Symposium on pages 143ndash148 IEEE 2007

[197] S S Yau Y Yao and A B Buduru An adaptable distributed trust management framework for large-

scale secure service-based systems Computing 96(10) 925ndash949 2014

[198] E Zahoor Gouvernance de service aspects seacutecuriteacute et donneacutees PhD thesis Universiteacute Nancy II 2011

[199] E Zahoor O Perrin and A Bouchami CATT A cloud based authorization framework with trust

and temporal aspects In 10th IEEE International Conference on Collaborative Computing NetworkingApplications and Worksharing CollaborateCom 2014 Miami Florida USA October 22-25 2014 pages

285ndash294 2014

[200] E Zahoor O Perrin and C Godart Disc A declarative framework for self-healing web services com-

position In Web Services (ICWS) 2010 IEEE International Conference on pages 25ndash33 IEEE 2010


position In ICWS 2010

[202] E Zahoor O Perrin and C Godart Disc-set Handling temporal and security aspects in the web

services composition In 8th IEEE European Conference on Web Services (ECOWS 2010) 1-3 December2010 Ayia Napa Cyprus pages 51ndash58 2010

[203] E Zahoor O Perrin and C Godart An event-based reasoning approach to web services monitoring

In ICWS 2011

[204] L Zhang G-J Ahn and B-T Chu A role-based delegation framework for healthcare information

systems In Proceedings of the seventh ACM symposium on Access control models and technologies pages

125ndash134 ACM 2002

[205] L Zhang G-J Ahn and B-T Chu A rule-based framework for role-based delegation and revocation

ACM Transactions on Information and System Security (TISSEC) 6(3) 404ndash441 2003

169


Introduction

Contexte geacuteneacuteral

La seacutecuriteacute dans un RSE

Authentification

Autorisation

Audit et gouvernance

Synthegravese

Reacutesumeacute des contributions de la thegravese

Conception darchitecture et gestion des identiteacutes -Authentification-

Controcircle daccegraves et supervision -Autorisation et Audit-

Mise en œuvre

Reacutesumeacute du sujet de la thegravese

Organisation de la thegravese


Introduction

Exemple de motivation

Gestion des ressources et identiteacutes collaboratives

Types de collaboration dans les environnements collaboratifs

Collaboration agrave long terme

Collaboration agrave faible couplage

Collaboration Ad Hoc

Synthegravese

Gestion de lauthentification


Supervision et confiance numeacuterique

Gestion du risque des requecirctes de demande daccegraves

Synthegravese

Conclusion

Eacutetat de lart

Gestion des identiteacutes numeacuteriques collaboratives

Identiteacute et cycle de vie

Eacutetude des solutions existantes

Authentification forte

Authentification unique multi-domaine (SSO)

Authentification feacutedeacutereacutee


Paradigmes de construction dun langage de politique

Politiques de controcircle daccegraves classiques et modegraveles associeacutes

DAC

MAC

Politiques de controcircle daccegraves baseacutees sur le rocircle ndashRBAC-

Synthegravese

Attribute Based Access Control

Mise en œuvre de politiques ABAC

eXtensible Access Control Markup Language ``XACML - un formalisme structureacute -

Le point sur XACML par rapport agrave OpenPaaS RSE

Controcircle daccegraves dynamique

Contexte et controcircle daccegraves


Gestion du risque

Deacuteleacutegation

Vers une implantation formelle de XACML

Conclusion

Synthegravese de leacutetat de lart


Introduction

Gestion et administration des identiteacutes et ressources

Gestion des ressources

Gestion des politiques

Gestion des identiteacutes numeacuteriques

Feacutedeacuteration des identiteacutes numeacuteriques

LemonLDAP-NG

Authentification et interopeacuterabiliteacute

Conclusion


Introduction

Repreacutesentation abstraite du modegravele de controcircle daccegraves


Vision darchitecture

Repreacutesentation formelle du modegravele de controcircle daccegraves

Modeacutelisation des regravegles de controcircle daccegraves

Cible

Effet et condition

Modegravele de regravegle

Instance et eacutevaluation de regravegle

Modeacutelisation de politiques de controcircle daccegraves

Patron de politiques baseacutees sur la cible

Patron de politiques baseacutees sur le sujet

Instance et eacutevaluation de politique

PolicySet

Politique dentreprise

Synthegravese


Preacutesentation formelle de deacuteleacutegation

Deacuteleacutegation interne

Deacuteleacutegation externe

Application des modegraveles sur lexemple de motivation

Conclusion

Gestion du risque

Introduction

Contexte

Meacutetrique deacutevaluation du risque

Deacutefinitions

Expeacuterimentation

Impleacutementation

Reacutesultats

Discussion

Conclusion


Introduction

Contexte

Preacutesentations conceptuelles de leacutevaluation de la confiance et la reacuteputation

Preacutesentation formelle du meacutecanisme deacutevaluation de confiance

Illustration

Eacutetude expeacuterimentale

Discussion

Conclusion


OpenPaaS RSE vue abstraite

Gestion des identiteacutes numeacuterique ndashAuthentificationndash

Reacutesumeacute de solution proposeacutee

Implantation

Controcircle daccegraves dans OpenPaaS ndashAutorisationndash


Implantation

Authorization store

Audit et gouvernance des ressources collaboratives dans OpenPaaS

Conclusion


Synthegravese

Perspectives

Bibliographie

Ecole doctorale IAEM Lorraine

Securite des ressources collaboratives

dans les reseaux sociaux drsquoentreprise

THESE

presentee et soutenue publiquement le ndash 02 septembre 2016

pour lrsquoobtention du

Doctorat de lrsquoUniversite de Lorraine

(mention informatique)

par

Ahmed BOUCHAMI

Composition du jury

Rapporteurs Maryline LAURENT Professeur Telecom SudParis

Abdelmadjid BOUABDALLAH Professeur Universite de Technologie de Compiegne

Examinateurs Salima BENBERNOU Professeur Universite Paris Descartes

Yves LE TRAON Professeur Universite du Luxembourg

Olivier FESTOR Directeur de recherche INRIA

Invites Ehtesham ZAHOOR Maitre de conference National University of Computer

and Emerging Sciences FAST-NU Islamabad Pakistan

Directeur de thegravese Olivier PERRIN Professeur Universite de Lorraine

Laboratoire Lorrain de Recherche en Informatique et ses Applications mdash UMR 7503


Remerciements




















1

2


3

4

Sommaire

Chapitre 1


11 Introduction 13




132 Autorisation 18









Chapitre 2


21 Introduction 27










5

Sommaire



26 Synthegravese 39

27 Conclusion 40

Chapitre 3











3221 DAC 52

3222 MAC 52














33 Conclusion 76


Chapitre 4


41 Introduction 79

6








43 Conclusion 91

Chapitre 5


51 Introduction 93






5311 Cible 97








533 PolicySet 104








55 Conclusion 112

7

Sommaire

Chapitre 6

Gestion du risque

61 Introduction 113

62 Contexte 113






643 Discussion 122

65 Conclusion 123

Chapitre 7


71 Introduction 125

72 Contexte 125





741 Discussion 131

75 Conclusion 133

Chapitre 8











85 Conclusion 151

8

Chapitre 9



92 Perspectives 155

Bibliographie 157

9

Sommaire

10

Abstract


























OpenPaaS ESN


trust

11

Reacutesumeacute





































12

Chapitre 1


Sommaire

11 Introduction 13




132 Autorisation 18












11 Introduction







13





































14
























15
















communs












collaboratives









16


ressources



EntrepriseX


IAM

IAMIAM

OpenPaaS RSE





















pendante


17


132 Autorisation















lrsquoaction
























18





































systegraveme


19


134 Synthegravese




































20








































21































collaboratives










22

















40 38]

143 Mise en œuvre






DEC Raisonneur


Confiance

Authentification





23






















gation)







web 17






17 APIs

24








































25
















de collaboration









26

Chapitre 2


Sommaire

21 Introduction 27








26 Synthegravese 39

27 Conclusion 40

21 Introduction














27


Politiques

ressource

Base de politiques

Universiteacute

Communauteacute

Entreprise

Partage


























28



Communauteacute

Enterprise

CAS

OpenID

CAS



pour OpenPaaS


















29


communauteacute

ressources

ressources

ressources

Universiteacute

RestaurantJames

Bob

Jessy

Entreprise

Agence de voyage

Alice

ressources




















30





































31











entreprise











communauteacute










32














Politique



communauteacute















33


communauteacute

Politique


2314 Synthegravese

























34






































35









































36
















de regravegles

37







































38

26 Synthegravese































26 Synthegravese






39

























27 Conclusion







40

Chapitre 3


Sommaire












33 Conclusion 76














41




















ID interne

Externe ID2

Externe ID1


Externe ID1

Communauteacute 1


(entreprise)

Externe ID3

Acteur


Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE




42





















sociale

















43



(ce quon est)























44


OpenID













45


OAuth














Discussion




ces donneacutees


















46







SAML



















WS-Federation












47


























48



Discussion






















49








































50


















la politique




















51







3221 DAC
















3222 MAC




52



du sujet




























infeacuterieurs










53













Privilegraveges

droit 1

droit 2

droit 3

droit 4

hellip

- droit nRocircle

= droit(124)

-

-

-

-

-

-

-













54

























55


































3224 Synthegravese






56









































57







































58

















59
























6 Deacutecision

PEP

PIPPAP

PDP



60


























principal



un refus ie Deny










61




approuveacutee



autoriseacutees






62

















PolicySet





















63






































64




























tiques










65






































66







































67




















suivent



















68








































69









































70































savoir [75]






leacutegation


71





























privilegraveges











72













regravegles




























73


compromis






Event-calculus


























74










controcircleacutes

























DEC-reasoner




75









du cadre


ronnement

















SAT

33 Conclusion










76







































77




























drsquoaccegraves













78



79

Chapitre 4


numeacuteriques

Sommaire

41 Introduction 79





43 Conclusion 91

41 Introduction














81






ration



















Rx

RxVirtualized


Service

communauteacute


82























communauteacute



Politique

RxVirtualized

Rx

Jessy

James




83





















ID interne

Externe ID2

Externe ID1


Externe ID1

Communauteacute 1


(entreprise)

Externe ID3

Acteur


Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE



84









































85









86




























87






LemonLDAP-NG

4232 LemonLDAP-NG
























thentification



tion

88




Handler





















89


























numeacuteriques













90




















1

2


4


LemonLDAPNG

Entreprise

Acteur

Cre

dent

ials







91






































92

43 Conclusion

1




Entreprise

Acteur

Universiteacute


23


43 Conclusion





















93





94

Chapitre 5


Sommaire

51 Introduction 93







533 PolicySet 104






55 Conclusion 112

51 Introduction








95








































96











de la confiance



























97


CIS

CTSCDS

CAdS politiques

CES

2

13


Raisoneur logique

Acteur


acteurs

ressources

regravegles

Entreprise

1

2



3

















98






5311 Cible


























99










Gestion du risque



















100













faux
















PermitDeny (2)



101







t0







RuleJames








t0











102
















precedence














103




























104


















t0










105






t0








533 PolicySet







106



politiques




























107




























108












534 Synthegravese























109








































110






























111



















sort d s







112







sort s tStar t tEnd


















r DelegAlice1







113








55 Conclusion




















114

Chapitre 6

Gestion du risque

Sommaire

61 Introduction 113

62 Contexte 113






643 Discussion 122

65 Conclusion 123

61 Introduction









62 Contexte




115

























entreprise








niveau du PolicySet






116





































117














(61)

Avec



















req

118



Avec











Avec

Threat la menace


u le sujet











119



kv + kt + ki(64)

Avec





















120




motivations)






tions)












RSE
















121









des politiques)







642 Reacutesultats













122


000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000








000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000









Fig 62



123


000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000














politiques-risque

000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000



124


643 Discussion




































125


65 Conclusion








abstraite















126

Chapitre 7


Sommaire

71 Introduction 125

72 Contexte 125





741 Discussion 131

75 Conclusion 133

71 Introduction









72 Contexte





127





















reacuteputation


















128
































129





































130






leurs ρ respectifs










descend














131


01 02

03 04

05 06

07 08

09 0 2 4 6 8 10 12 14

0 01 02 03 04 05 06 07 08 09

1

Reputation

PenaltyFactor

NbDeny

Reputation

0 01 02 03 04 05 06 07 08 09 1


732 Illustration






autoriseacutees













132


























741 Discussion










133


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation










134

75 Conclusion

75 Conclusion

























135

Chapitre 8


seacutecuriteacute

Sommaire









85 Conclusion 151














137














138
























822 Implantation





139

























Deacutependances


vante


mdash axis-client


mdash mail-147

mdash wsdl4j-152

mdash javaxmail-152


140




mdash activation-11

mdash javaee-api-70





141










suivante







goDB





142






832 Implantation










Insertion









62 http wwwjsonorg

143






agrave supprimer




ou 86)







Dec-Reasoner














144





























146






























Deacutependances








147









1005 20 40 60 80

7

0

1

2

3

4

5

6


Tim

e (S

econ

ds)



















148




PaaS


























Algorithme






149








Implantation










150



CTS CTS CTS

GetUpdate

Time-line



1

2

3





comSeverity=001






Deacutependances

mdash javaee-api-70

mdash json


mdash activation-11

mdash javaxmail-150

151


0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

ρ = - 005 ρ = - 01

ρ = - 05 ρ = - 1

Tru

st le

vel

Tru s

t le

vel

Tru s

t le

vel

Tru

st le

vel

Nb DenyNb Deny

Nb DenyNb Deny




152

85 Conclusion


85 Conclusion









153



154

Chapitre 9


Sommaire


92 Perspectives 155

91 Synthegravese









collaborer













155












externes






























156

92 Perspectives















92 Perspectives























157



































158

Bibliographie









November-2015]




















159

Bibliographie




2001



ACM 2009















1977




tion 2012





160

















Document 2007












2(1) 1ndash15 1985






161

Bibliographie













2015


report 2000














2006



162











2000



20ndash30 IEEE 1990



21ndash27 ACM 2001






15(2) 154ndash194 1997













163

Bibliographie















245 Springer 2007





ACM 2006



2002











1964

164


686 2007








2008










2008


structure











165

Bibliographie








Namur Apr 2009








2005





2439 IEEE 2002





Assessments 2002



ICCSA (5) 2013


61ndash72 2011


ACM 2010

166







2011





2009





2000






US Patent 7415498






1(1) 59ndash98 1992




32(9) 40ndash48 1994


167

Bibliographie










1999




2005
















Lorraine 2012


2014

168















285ndash294 2014








In ICWS 2011






169


Introduction



Authentification

Autorisation


Synthegravese




Mise en œuvre




Introduction







Synthegravese





Synthegravese

Conclusion

Eacutetat de lart










DAC

MAC


Synthegravese








Gestion du risque



Conclusion



Introduction






LemonLDAP-NG


Conclusion


Introduction






Cible

Effet et condition







PolicySet


Synthegravese






Conclusion

Gestion du risque

Introduction

Contexte


Deacutefinitions


Impleacutementation

Reacutesultats

Discussion

Conclusion


Introduction

Contexte



Illustration


Discussion

Conclusion





Implantation



Implantation

Authorization store


Conclusion


Synthegravese

Perspectives

Bibliographie


Remerciements




















1

2


3

4

Sommaire

Chapitre 1


11 Introduction 13




132 Autorisation 18









Chapitre 2


21 Introduction 27










5

Sommaire



26 Synthegravese 39

27 Conclusion 40

Chapitre 3











3221 DAC 52

3222 MAC 52














33 Conclusion 76


Chapitre 4


41 Introduction 79

6








43 Conclusion 91

Chapitre 5


51 Introduction 93






5311 Cible 97








533 PolicySet 104








55 Conclusion 112

7

Sommaire

Chapitre 6

Gestion du risque

61 Introduction 113

62 Contexte 113






643 Discussion 122

65 Conclusion 123

Chapitre 7


71 Introduction 125

72 Contexte 125





741 Discussion 131

75 Conclusion 133

Chapitre 8











85 Conclusion 151

8

Chapitre 9



92 Perspectives 155

Bibliographie 157

9

Sommaire

10

Abstract


























OpenPaaS ESN


trust

11

Reacutesumeacute





































12

Chapitre 1


Sommaire

11 Introduction 13




132 Autorisation 18












11 Introduction







13





































14
























15
















communs












collaboratives









16


ressources



EntrepriseX


IAM

IAMIAM

OpenPaaS RSE





















pendante


17


132 Autorisation















lrsquoaction
























18





































systegraveme


19


134 Synthegravese




































20








































21































collaboratives










22

















40 38]

143 Mise en œuvre






DEC Raisonneur


Confiance

Authentification





23






















gation)







web 17






17 APIs

24








































25
















de collaboration









26

Chapitre 2


Sommaire

21 Introduction 27








26 Synthegravese 39

27 Conclusion 40

21 Introduction














27


Politiques

ressource

Base de politiques

Universiteacute

Communauteacute

Entreprise

Partage


























28



Communauteacute

Enterprise

CAS

OpenID

CAS



pour OpenPaaS


















29


communauteacute

ressources

ressources

ressources

Universiteacute

RestaurantJames

Bob

Jessy

Entreprise

Agence de voyage

Alice

ressources




















30





































31











entreprise











communauteacute










32














Politique



communauteacute















33


communauteacute

Politique


2314 Synthegravese

























34






































35









































36
















de regravegles

37







































38

26 Synthegravese































26 Synthegravese






39

























27 Conclusion







40

Chapitre 3


Sommaire












33 Conclusion 76














41




















ID interne

Externe ID2

Externe ID1


Externe ID1

Communauteacute 1


(entreprise)

Externe ID3

Acteur


Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE




42





















sociale

















43



(ce quon est)























44


OpenID













45


OAuth














Discussion




ces donneacutees


















46







SAML



















WS-Federation












47


























48



Discussion






















49








































50


















la politique




















51







3221 DAC
















3222 MAC




52



du sujet




























infeacuterieurs










53













Privilegraveges

droit 1

droit 2

droit 3

droit 4

hellip

- droit nRocircle

= droit(124)

-

-

-

-

-

-

-













54

























55


































3224 Synthegravese






56









































57







































58

















59
























6 Deacutecision

PEP

PIPPAP

PDP



60


























principal



un refus ie Deny










61




approuveacutee



autoriseacutees






62

















PolicySet





















63






































64




























tiques










65






































66







































67




















suivent



















68








































69









































70































savoir [75]






leacutegation


71





























privilegraveges











72













regravegles




























73


compromis






Event-calculus


























74










controcircleacutes

























DEC-reasoner




75









du cadre


ronnement

















SAT

33 Conclusion










76







































77




























drsquoaccegraves













78



79

Chapitre 4


numeacuteriques

Sommaire

41 Introduction 79





43 Conclusion 91

41 Introduction














81






ration



















Rx

RxVirtualized


Service

communauteacute


82























communauteacute



Politique

RxVirtualized

Rx

Jessy

James




83





















ID interne

Externe ID2

Externe ID1


Externe ID1

Communauteacute 1


(entreprise)

Externe ID3

Acteur


Communauteacute 2

Communauteacute 3

Comm

ID2

ID3

RSE



84









































85









86




























87






LemonLDAP-NG

4232 LemonLDAP-NG
























thentification



tion

88




Handler





















89


























numeacuteriques













90




















1

2


4


LemonLDAPNG

Entreprise

Acteur

Cre

dent

ials







91






































92

43 Conclusion

1




Entreprise

Acteur

Universiteacute


23


43 Conclusion





















93





94

Chapitre 5


Sommaire

51 Introduction 93







533 PolicySet 104






55 Conclusion 112

51 Introduction








95








































96











de la confiance



























97


CIS

CTSCDS

CAdS politiques

CES

2

13


Raisoneur logique

Acteur


acteurs

ressources

regravegles

Entreprise

1

2



3

















98






5311 Cible


























99










Gestion du risque



















100













faux
















PermitDeny (2)



101







t0







RuleJames








t0











102
















precedence














103




























104


















t0










105






t0








533 PolicySet







106



politiques




























107




























108












534 Synthegravese























109








































110






























111



















sort d s







112







sort s tStar t tEnd


















r DelegAlice1







113








55 Conclusion




















114

Chapitre 6

Gestion du risque

Sommaire

61 Introduction 113

62 Contexte 113






643 Discussion 122

65 Conclusion 123

61 Introduction









62 Contexte




115

























entreprise








niveau du PolicySet






116





































117














(61)

Avec



















req

118



Avec











Avec

Threat la menace


u le sujet











119



kv + kt + ki(64)

Avec





















120




motivations)






tions)












RSE
















121









des politiques)







642 Reacutesultats













122


000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000








000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000









Fig 62



123


000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000














politiques-risque

000

1000

2000

3000

4000

5000

6000


000

1000

2000

3000

4000

5000

6000



124


643 Discussion




































125


65 Conclusion








abstraite















126

Chapitre 7


Sommaire

71 Introduction 125

72 Contexte 125





741 Discussion 131

75 Conclusion 133

71 Introduction









72 Contexte





127





















reacuteputation


















128
































129





































130






leurs ρ respectifs










descend














131


01 02

03 04

05 06

07 08

09 0 2 4 6 8 10 12 14

0 01 02 03 04 05 06 07 08 09

1

Reputation

PenaltyFactor

NbDeny

Reputation

0 01 02 03 04 05 06 07 08 09 1


732 Illustration






autoriseacutees













132


























741 Discussion










133


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 720

01

02

03

04

05

06

07

08

09

1

Rep

utat

ion

scor

e

Time-line

Penalty factor

Reputation










134

75 Conclusion

75 Conclusion

























135

Chapitre 8


seacutecuriteacute

Sommaire









85 Conclusion 151














137














138
























822 Implantation





139

























Deacutependances


vante


mdash axis-client


mdash mail-147

mdash wsdl4j-152

mdash javaxmail-152


140




mdash activation-11

mdash javaee-api-70





141










suivante







goDB





142






832 Implantation










Insertion









62 http wwwjsonorg

143






agrave supprimer




ou 86)







Dec-Reasoner














144





























146






























Deacutependances








147









1005 20 40 60 80

7

0

1

2

3

4

5

6


Tim

e (S

econ

ds)



















148




PaaS


























Algorithme






149








Implantation










150



CTS CTS CTS

GetUpdate

Time-line



1

2

3





comSeverity=001






Deacutependances

mdash javaee-api-70

mdash json


mdash activation-11

mdash javaxmail-150

151


0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

0

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 50

01

02

03

04

05

06

07

08

09

1

0 1 2 3 4 5

ρ = - 005 ρ = - 01

ρ = - 05 ρ = - 1

Tru

st le

vel

Tru s

t le

vel

Tru s

t le

vel

Tru

st le

vel

Nb DenyNb Deny

Nb DenyNb Deny




152

85 Conclusion


85 Conclusion









153



154

Chapitre 9


Sommaire


92 Perspectives 155

91 Synthegravese









collaborer













155












externes






























156

92 Perspectives















92 Perspectives























157



































158

Bibliographie









November-2015]




















159

Bibliographie




2001



ACM 2009















1977




tion 2012





160

















Document 2007












2(1) 1ndash15 1985






161

Bibliographie













2015


report 2000














2006



162











2000



20ndash30 IEEE 1990



21ndash27 ACM 2001






15(2) 154ndash194 1997













163

Bibliographie















245 Springer 2007





ACM 2006



2002











1964

164


686 2007








2008










2008


structure











165

Bibliographie








Namur Apr 2009








2005





2439 IEEE 2002





Assessments 2002



ICCSA (5) 2013


61ndash72 2011


ACM 2010

166







2011





2009





2000






US Patent 7415498






1(1) 59ndash98 1992




32(9) 40ndash48 1994


167

Bibliographie










1999




2005
















Lorraine 2012


2014

168















285ndash294 2014








In ICWS 2011






169


Introduction



Authentification

Autorisation


Synthegravese




Mise en œuvre




Introduction







Synthegravese





Synthegravese

Conclusion

Eacutetat de lart










DAC

MAC


Synthegravese








Gestion du risque



Conclusion



Introduction






LemonLDAP-NG


Conclusion


Introduction






Cible

Effet et condition







PolicySet


Synthegravese






Conclusion

Gestion du risque

Introduction

Contexte


Deacutefinitions


Impleacutementation

Reacutesultats

Discussion

Conclusion


Introduction

Contexte



Illustration


Discussion

Conclusion





Implantation



Implantation

Authorization store


Conclusion


Synthegravese

Perspectives

Bibliographie

Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise · 2020. 11. 5. ·...

Documents

Transcript of Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise · 2020. 11. 5. ·...