Intégration de l’utilisateur au contrôle d’accès : du processus cloisonné à l’interface homme-machine de confiance

Mickaël Salaün, du laboratoire architectures matérielles et logicielles, a soutenu sa thèse portant sur l'intégration de l’utilisateur au contrôle d’accès pour la sécurisation de son poste de travail, le 2 mars 2018.

Publié le 12 Avril 2018 Mis à jour le 12 Avril 2018

Thèse soutenue le 02 mars 2018.

Jury :

Président :
Gaël Thomas - Télécom SudParis

Rapporteurs :
Michaël Hauspie - Université Lille 1, Sciences et Technologies
Valérie Viet Triem Tong - CentraleSupélec

Examinateur :
Roland Groz - Grenoble INP, Ensimag

Directeur de thèse :
Hervé Debar - Télécom SudParis

Co-encadrante :
Marion Daubignard - ANSSI

Invités :
Mathieu Blanc - CEA
Benjamin Morin - ANSSI

 

Résumé :

Cette thèse souhaite fournir des outils pour qu'un utilisateur puisse contribuer activement à la sécurité de son usage d'un système informatique.
Les activités de sensibilités différentes d'un utilisateur nécessitent tout d'abord d'être cloisonnées dans des domaines dédiés, par un contrôle d'accès s'ajustant aux besoins de l'utilisateur.Afin de conserver ce cloisonnement, celui-ci doit être en mesure d'identifier de manière fiable les domaines avec lesquels il interagit, à partir de l'interface de sa machine.

Dans une première partie, nous proposons un nouveau mécanisme de cloisonnement qui peut s'adapter de manière transparente aux changements d'activité de l'utilisateur, sans altérer le fonctionnement des contrôles d'accès existants, ni dégrader la sécurité du système. Nous en décrivons une première implémentation, nommée StemJail, basée sur les espaces de noms de Linux.
Nous améliorons ce cloisonnement en proposant un nouveau module de sécurité Linux, baptisé Landlock, utilisable sans nécessiter de privilèges.Dans un second temps, nous identifions et modélisons les propriétés de sécurité d'une interface homme-machine (IHM) nécessaires à la compréhension fiable et sûre du système par l'utilisateur. En particulier, il s'agit d'établir un lien entre les entités avec lesquelles l'utilisateur pense communiquer, et celles avec lesquelles il communique vraiment. Cette modélisation permet d'évaluer l'impact de la compromission de certains composants d'IHM et d'aider à l'évaluation d'une architecture donnée.