Gang Tan est le directeur du laboratoire de logiciels de sécurité à l'Université Lehigh aux États-Unis. Il s'intéresse à la sécurité des logiciels depuis 10 ans, et développe des techniques automatisées pour protéger logiciels et ordinateurs de pirates et cyber-terroristes avant leur commercialisation.
En analysant les vulnérabilités de gros systèmes informatiques, Gang Tan a décelé trois principaux problèmes :La complexité : certains logiciels peuvent contenir plusieurs millions de lignes de code, contenant des centaines d'erreurs qui peuvent menacer le système au complet. Tan développe des systèmes de recherche automatisés pour dénicher ces problèmes dans les lignes de code.
La connectivité : Un ordinateur isolé est à l'abri d'une attaque virale, or presque tous les ordinateurs du monde sont connectés. Cela augmente les possibilités d'une attaque.
L'extension : il est de plus en plus possible d'ajouter des extensions et des mises à jour à différents logiciels, ce qui facilite l'intrusion de corps étrangers indésirables.
Pour remédier à cela, Gang Tan propose de créer des programmes plus parcellisés, moins monolithiques puisqu'avoir une seule cible visible rend le système vulnérable à l'attaque ennemie.
« Nous fragmentons le logiciel en de multiples modules. Chaque module est protégé séparément. Le module en question a besoin d'un très petit privilège d'accès pour accomplir sa tâche », explique Tan.
Le principe du moindre privilège a été développé par le Département de la Défense dans les années 70 et consiste à attribuer le moins de privilèges possible à un employé, à un programme ou à un ordinateur pour le permettre d'exécuter ses tâches principales, limitant ainsi les failles de sécurité.
« Quand un logiciel est conçu de manière monolithique, un système au complet peut être détruit par un seul pirate qui exploite une seule vulnérabilité », précise Tan. « Si une petite partie du sous-système du module est atteinte, le reste du système pourra encore fonctionner ».
Une alternative plus flexible au principe du moindre privilège est le privilège temporaire (traduction libre de privilege bracketing) qui permet à un utilisateur d'accéder à un niveau supérieur de sécurité juste assez longtemps pour exécuter une tâche précise avant de tomber à son niveau habituel de privilège d'accès.
Les recherches de Gang Tan sont subventionnées par le Département de la Défense aux États-Unis et du Centre National de Science, qui lui a octroyé la prestigieuse bourse CAREER, étalée sur cinq ans.
Sources: Phys.Org, Resolve, Search Security
REF.:
Tidak ada komentar:
Posting Komentar