Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Le modèle de contrôle d’accès classiquement employé sur les systèmes GNU/Linux est discrétionnaire. L’ensemble des processus exécutés par le compte d’un utilisateur dispose des mêmes privilèges vis-à-vis des données accessibles par l’utilisateur. La prise de contrôle d’un seul processus par un attaquant permet donc à celui-ci d’accéder à n’importe quelle donnée à laquelle l’utilisateur a accès. Ce modèle de contrôle d’accès est donc inadapté à une séparation des privilèges des applications en fonction de différentes activités que peut avoir un utilisateur.
Cet article présente StemJail : une architecture de cloisonnement dynamique des activités utilisateur. Cette nouvelle approche du cloisonnement simplifie l’utilisation du contrôle d’accès en l’intégrant dans le workflow de l’utilisateur. Celui-ci devient capable de limiter les droits d’accès de ses instances d’applications et donc de circonscrire les modifications et les fuites potentielles d’information. La solution proposée par StemJail se veut pragmatique : l’intervention de l’utilisateur est minimisée, l’impact sur les performances est faible tout en préservant la compatibilité logicielle et sans augmenter la quantité de code privilégié qui s’exécute sur le système.
Présentation de l’article à la conférence SSTIC 2015 (Rennes) le vendredi 5 juin 2015 à 10h15.
