Un sceau de sécurité sur l'Internet des services

L'IdS est une vision d'un Internet du futur dans lequel l'information, les données et les applications logicielles, ainsi que leurs outils de développement, sont toujours accessibles, qu'ils soient stockés localement sur un dispositif ou en nuage, ou encore en provenance de capteurs en temps réel. Qu'il s'agisse de logiciels conçus en masse pour une utilisation en solo, l'IdS renverse les barrières, réduit les coûts et stimule ainsi l'innovation.

Se basant sur le succès de l'informatique en nuage, les applications de l'IdS sont conçues en composant des services distribués sur le réseau, elles sont ensuite compilées et consommées d'une manière flexible, en fonction de la demande. Cette nouvelle approche de développement de logiciels permettra de développer simplement des applications et services, pour rendre disponibles de nouveaux services, encore impossibles à l'heure actuelle. Cette approche devrait apporter une énorme contribution à la stratégie numérique de l'Europe qui vise à rendre le secteur européen des logiciels plus compétitif.

Les services de l'IdS peuvent être conçus et mis en œuvre par des producteurs, déployés par des fournisseurs et compilés par des intermédiaires pour être enfin utilisés par les consommateurs. Quiconque souhaite développer des applications peut utiliser les ressources de l'Internet des services pour y parvenir, avec un peu d'investissement et la possibilité de s'appuyer sur les efforts d'autres personnes.

L'IdS résout ainsi de plusieurs manières les défis d'interopérabilité et d'inefficacité très fréquents dans les systèmes logiciels traditionnels, mais il peut également créer de nouvelles faiblesses. Comment, par exemple, être sûr qu'un service est sans défaut? Ou que les différents composants des différents développeurs compilés dans une nouvelle application ont tous été testés afin d'en détecter toute vulnérabilité au niveau de la sécurité?

«Bien qu'il soit toujours difficile de quantifier exactement l'impact de l'absence d'une chose, il est clair que le manque de technologies de validation de la sécurité efficaces a considérablement ralenti l'adoption des services en ligne par les citoyens, car nombre d'entre eux ne font pas confiance à Internet en général, ni à l'Internet des services en particulier», commente le professeur Luca Viganò de l'Universita Degli Studi di Verona en Italie. «Il ne suffit donc pas de développer de bons services en ligne, ni des services sûrs ayant été testés, mais nous avons plutôt besoin de convaincre les citoyens qu'ils sont effectivement sécurisés et ont réellement été testés avec succès. L'existence et l'utilisation d'outils automatisés pouvant apposer un sceau de garantie sur ces services innovants ou sur des services téléchargés en ligne, garantiront un certain degré de confiance plus élevé.»

Le professeur Viganò et une équipe de chercheurs issus de cinq pays européens apposent les dernières touches sur les outils aptes à fournir précisément ce «sceau de garantie» tant recherché pour les services en ligne. Leur travaux, menés dans le cadre du projet SPACIOS («Secure provision and consumption in the Internet of Services») et soutenu à hauteur de 3,6 millions d'euros par la Commission européenne, associent des technologies de pointe pour des essais de sécurité de pénétration, des essais de sécurité par vulnérabilité, des essais de sécurité par mutation, d'apprentissage automatique pour les interférences de modèles et les techniques d'extraction de codes et de vérification de modèles.

Un outil unique pour évaluer la sécurité des services web

«Il est important de noter que les technologies de validation de sécurité de pointe existent, mais qu'elles sont utilisées généralement de manière isolée et au moment de la production, alors que nous avons besoin d'outils déployables pour valider les services lors de l'exécution», commente le professeur Viganò. «Il existe un nombre d'outils utilisés avec succès pour les essais de sécurité, mais aucun, à notre connaissance, n'associe toutes ces techniques en un seul outil, exploitant un langage formel unique pour les entrées et les sorties. L'outil SPACIOS possède toutes les capacités manquant aux autres outils.»

Pour simplifier, un utilisateur lance une spécification formelle du système à tester dans laquelle les propriétés sont spécifiées en tant que formules logiques. Si aucune spécification formelle n'existe, l'outil SPACIOS peut générer automatiquement un modèle à partir du code source. Le modèle est ensuite testé pour détecter les éventuelles vulnérabilités en utilisant une plateforme de vérification de modèles de pointe appelée AVANTSSAR (développée par le professeur Viganò dans le cadre d'un projet antérieur).

En cas d'attaque, le vérificateur de modèles émet une trace d'attaque qui peut être utilisée pour générer des cas d'essais pour le système. Si aucune attaque n'a été détectée, le modèle est modifié pour forcer des vulnérabilités de base dans les spécifications et les tests sont réitérés. Toutes les traces d'attaques découvertes sont utilisées pour générer des cas de test, qui sont de nouveau relancés. Le processus est répété jusqu'à ce que tous les paramètres et toutes les vulnérabilités de sécurité potentielles soient vérifiés.

«Il est important de noter que les différents composants de cet outil peuvent être utilisés séparément. Ils sont intégrés dans une plateforme Eclipse, qui permet à l'utilisateur de choisir ce qu'il souhaite exactement réaliser», commente le coordinateur de SPACIOS.

L'équipe a testé l'outil dans des scénarios d'applications industrielles avec des applications du monde réel. Elle a examiné, par exemple, les vulnérabilités de sécurité dans une application d'ouverture de session unique SAML 2.0 (un standard émergeant qui permet aux partenaires commerciaux en ligne d'authentifier leurs utilisateurs une seule fois dans un environnement d'identité fédérée) et OpenID (un protocole d'ouverture de session unique en ligne orienté utilisateurs qui offre une méthode d'authentification d'utilisateurs en leur demandant de prouver qu'ils contrôlent un identifiant unique). Parmi les autres scénarios, l'équipe a également appliqué l'outil SPACIOS à des applications en source ouverte, y compris un magasin de livres en ligne, un site d'annonces et un annuaire d'employés. Ces applications en ligne avaient été utilisées auparavant en tant que cibles pour l'analyse de codes sources et de tests de vulnérabilités.

Siemens et SAP, des partenaires industriels allemands impliqués dans le projet SPACIOS, ont également mis en avant trois autres scénarios d'application en vue de valider l'outil: Pervasive Retail (qui contient une plateforme de gestion marketing sur demande innovante pour créer une certaine interactivité entre clients, fournisseurs de produits et détaillants à l'aide de la communication mobile), Infobase Document Repository (qui met en œuvre un système de gestion de documents permettant la gestion et le partage sécurisé de documents ou de fichiers de données par l'exploitation d'explorateurs en ligne) et eHealth (basé sur des systèmes de mash-up qui créent et utilisent d'une part des archives médicales électroniques et, d'autre part, compilent d'autres fonctionnalités, comme l'aide à la prise de décisions pour le médecin, l'analyse d'image et des systèmes de facturation).

Étant donné l'étendue de l'Internet des services et son expansion potentiellement rapide au cours des prochaines années, les scénarios d'application potentiels de l'outil SPACIOS sont pratiquement illimités. Déployé en masse, il peut fournir aux utilisateurs une meilleure sécurité et réduire considérablement les coûts de développement de services en ligne.

«L'approche SPACIOS permettra une intégration homogène, au sein du cycle de développement de services, de l'analyse au moment de la conception jusqu'à la mise à l'essai au moment de l'exécution, permettant ainsi aux développeurs de réduire les coûts. Une estimation quantitative est très difficile, nous devrions cependant être capables de fournir des mesures une fois l'intégration adoptée par les partenaires industriels du projet», commente le professeur Viganò.

Bien que les partenaires ne prévoient pas de commercialiser directement l'outil, il est déjà utilisé dans l'industrie par Siemens, SAP et d'autres entreprises, selon le professeur Viganò. Les partenaires du projet évoquent également la possibilité d'un projet de suivi visant à renforcer la technologie de test et de détection de vulnérabilités et d'erreurs.

Le projet SPACIOS bénéficie d'un financement de la recherche au titre du septième programme-cadre (7e PC) de l'Union européenne.

Lien au projet sur CORDIS:

- le 7e PC sur CORDIS
- Fiche d'informations du projet SPACIOS sur CORDIS

Lien au site web du projet:

- Site web du projet «Secure provision and consumption in the Internet of Services»

Autres liens:

- Site web de la stratégie numérique de la Commission européenne