Gang Tan est le
directeur du laboratoire de logiciels de sécurité à l'Université Lehigh
aux États-Unis. Il s'intéresse à la sécurité des logiciels depuis 10
ans, et développe des techniques automatisées pour protéger logiciels et
ordinateurs de pirates et cyber-terroristes avant leur
commercialisation.
En analysant les vulnérabilités de gros systèmes informatiques, Gang Tan a décelé trois principaux problèmes :
La complexité : certains logiciels peuvent contenir
plusieurs millions de lignes de code, contenant des centaines d'erreurs
qui peuvent menacer le système au complet. Tan développe des systèmes de
recherche automatisés pour dénicher ces problèmes dans les lignes de
code.
La connectivité : Un ordinateur isolé est à l'abri
d'une attaque virale, or presque tous les ordinateurs du monde sont
connectés. Cela augmente les possibilités d'une attaque.
L'extension : il est de plus en plus possible
d'ajouter des extensions et des mises à jour à différents logiciels, ce
qui facilite l'intrusion de corps étrangers indésirables.
Pour remédier à cela, Gang Tan propose de créer des programmes plus
parcellisés, moins monolithiques puisqu'avoir une seule cible visible
rend le système vulnérable à l'attaque ennemie.
« Nous fragmentons le logiciel en de multiples modules. Chaque module
est protégé séparément. Le module en question a besoin d'un très petit
privilège d'accès pour accomplir sa tâche », explique Tan.
Le principe du moindre privilège a été développé par le Département
de la Défense dans les années 70 et consiste à attribuer le moins de
privilèges possible à un employé, à un programme ou à un ordinateur pour
le permettre d'exécuter ses tâches principales, limitant ainsi les
failles de sécurité.
« Quand un logiciel est conçu de manière monolithique, un système au
complet peut être détruit par un seul pirate qui exploite une seule
vulnérabilité », précise Tan. « Si une petite partie du sous-système du
module est atteinte, le reste du système pourra encore fonctionner ».
Une alternative plus flexible au principe du moindre privilège est le privilège temporaire (traduction libre de
privilege bracketing)
qui permet à un utilisateur d'accéder à un niveau supérieur de sécurité
juste assez longtemps pour exécuter une tâche précise avant de tomber à
son niveau habituel de privilège d'accès.
Les recherches de Gang Tan sont subventionnées par le Département de
la Défense aux États-Unis et du Centre National de Science, qui lui a
octroyé la prestigieuse bourse CAREER, étalée sur cinq ans.
Sources:
Phys.Org,
Resolve,
Search Security
REF.: