L’objectif du sous projet 3 est la définition d’une « théorie du test » pour le test de politiques de sécurité sur des systèmes d’information en réseau : conformité d’un système par rapport à une politique, testabilité d’une politique donnée et génération d’une suite de tests à partir de descriptions formelles de la politique de sécurité et d’éléments du réseau.

Les cibles de ce sous-projet seront les équipes de validation ainsi que les équipes chargées d’auditer la sécurité des systèmes avant leur déploiement ou en exploitation. Ces équipes doivent confronter la définition de la politique de sécurité, la déclaration des moyens mis en oeuvre (organisationnels et techniques, mais nous ne nous intéressons dans ce projet qu’à ce deuxième aspect), et la réalité de ce qui se trouve dans les machines. Pour ce faire, il existe un certain nombre d’outils et de batteries de test pour tester certains points. Pour prendre un exemple déjà ancien et simple, on peut évoquer les outils de test des bases de mots de passe, visant à détecter les choix simplistes non conformes à une politique de choix des mots de passe. Plus largement, les outils existants de mise en oeuvre d’attaques sur des réseaux restent très parcellaires, et les auditeurs manquent de moyens globaux pour tester la conformité d’un système à un sous-ensemble cohérent d’une politique de sécurité.

Ce sous projet se compose de 5 tâches :

  Tâche T3.1 : Pratiques de test et des besoins d’audit

  Tâche T3.2 : Définition d’une méthode de test de sous-ensembles cohérents d’une politique de sécurité.

  Tâche T3.3 : Etude de la connexion des outils de modélisation avec des outils de mise en oeuvre d’attaques

  Tâche T3.4 : Etude d’un outil de génération de buts de tests, et de cas de tests.

  Tâche T3.5 : Test de flux d’information

Le document constitue le livrable L3.1 et correspond à la tâche T3.1. L’objectif de cette tâche est l’identification des pratiques de test et des besoins d’audit pertinents par rapport à la modélisation menée dans les autres sous-projets.

L3.1 Etat de l’art des techniques d’audit de web services

La tâche 3.1 correspond à l’une des premières activités du sous-projet qui consiste à identifier les pratiques actuelles de test et de validation d’une politique de sécurité telles qu’elles sont menées actuellement sur des applications proches de celles envisagées dans les études de cas prévues au SP5. Elle a été réalisée en collaboration avec les partenaires impliquées dans le sous projet SP5 et à consisté notamment à déterminer pour ces différentes études de cas :

  quelles sont les principales cibles du test (les aspects de la politique de sécurité globale qui semblent être les plus pertinents à tester) ;

  quelles seraient des scénarios d’attaques potentielles pour mettre en défaut ces propriétés cibles ;

  quels sont les critères de couverture de tests associés aux différents types de propriétés de sécurité permettant de mesurer la qualité d’une suite de tests de conformité de sécurité ;

  quelles sont les architectures de test envisageables sur ces applications (les moyens dont pourra disposer un testeur pour interagir avec le système) ;
etc..

Enfin, pour pouvoir envisager une approche automatique pour le test de politiques de sécurité, nous avons également établi un lien entre les formalismes de modélisation, proposés dans le sous projet SP1, et les formalismes basés sur des spécifications formelles, cadre habituel dans les approches de génération automatiques de test de conformité des protocoles.

Le document est organisé de la manière suivante :

  la section 1 donne les références utiles ainsi que quelques définitions ;

  la section 2 présente les techniques actuellement employées chez les partenaires industriels pour réaliser les tests de politiques de sécurité réseau et plus spécifiquement de web services, via deux approches : les audits « boite noire » et « boite blanche » ;

  la section 3 est consacrée au recueil d’informations sur les études de cas du SP5, pertinentes pour déterminer les besoins en matières d’audit et répondre aux besoins en matières de test ;

  la section 4 présente le lien entre les formalismes de modélisation des politiques de sécurité, proposés dans le sous projet SP1, et les formalismes basés sur des spécifications formelles utilisés dans les approches de génération automatiques de test de conformité des protocoles ;

  la section 5 présente de manière synthétique les résultats de la tâche 3.1.

Après avoir présenté les spécificités en matière de sécurité des Web services, ce document décrit les techniques de test actuellement mise en oeuvre pour réaliser des tests de sécurité. Les techniques employées reposent essentiellement sur l’expérience des auditeurs de sécurité qui conduisent les tests. Les techniques classique d’audit (boîte noire et boîte blanche) sont mise à contribution, mais aucune méthode un temps soit peu automatisée et systématique n’est utilisée. Plusieurs outils facilitent la tâche des auditeurs mais sans leur apporter de cadre méthodologique dédié aux web services.

Les deux études de cas ont été présentées sous la forme de mini cibles de sécurité Critères Communs (l’agence de voyage est présentée plus en détail dans un autre document, et seules les définitions sont reprises dans le présent document) et des précisions quant à leur implémentation ont été fournies. Pour chacune d’entre elles, les besoins de tests ont été présentés.