Create a new version of paste:

buffer overflow
	
Intégrité Disponibilité Confidentialité

fail-safe default : Principe de sécurité: toujours revenir à une
situation stable après une erreur. ().


nombre aleatoires
	2^32 est une fraction suffisamment petite de 52! qu’il est possible de deviner l’agencement des cartes en
	cours après 1 ou 2 mains. 
	
	
	Un nombre est aléatoire si il est pigé de manière
	équiprobable dans un ensemble donné,
	
	Un ensemble de nombres est aléatoire si ces
	nombres sont indépendants les un des autres. 
	
	Il est difficile de générer des nombres aléatoires
car les ordinateurs sont déterministes. 

	 middlesquare
	 
		Dès qu’un 0 apparait dans la séquence il y restera jusqu’à la fin.
		Parfois, le patron apparaît tôt dans la séquence.
		
	Générateur congruentiel linéaire
		VOIR PAGE 15
	
	True Random Number Generators
		variation des mouvements de la souris
		• bruits ambiants
		• lava lamp
		• radioactivité
		
	Deux notions doivent être testées:
	• L’indépendance (chaque valeur ne dépend pas des
	autres)
	• L’uniformité (toutes les valeurs possibles sont
	équiprobables)

	Il est possible qu’un générateur de nombres aléatoires
	réussisse un test, mais en échoue d’autres.
	Knuth donne une douzaine de tests et suggère de
	n’accepter un PRNG que s’il en réussit au moins 5 de ces
	tests. 
	

JAVA
	
	Initialement développé pour produire des applets qui seraient exécutés dans les navigateurs (d’où le besoin accru de sécurité).
	• Un des langages les plus sécuritaires et les plus	utilisés aujourd’hui.
	• Fortement typé, orienté objet et sécuritaire.
	• Plus lent que les langages bas-niveau comme C
	ou C++, mais la performance de Java s’est 	grandement améliorée. 

	Pas de pointeurs ou d’arithmétique de pointeurs, gestion automatique de la
	mémoire.
	
		• Pas de goto
		• Pas de surdéfinitions des opérateurs
		• Pas de valeur par défaut des paramètres
		• Pas d’héritage multiple
		• Vérification automatique systématique des
		bornes des tableaux et des strings
		
	WHY NO BUFFER OVERFLOW IN JAVA ??
	
	Ceci permet une bonne granularité des permissions
	
	JAVA SECURITY POLICY
	
	Java Class Loader
		
		Le class loader associe chaque classe à un
		namespace, ce qui permet d’éviter la confusion entre
		plusieurs classes d’origines distinctes, ayant le même
		nom. Le code de chaque origine sera associé à un
		namespace différent. C’est une raison d’être
		importante des classloaders. 
		
	Le Bytecode Verifier
		Permet de se protéger contre un compilateur hostile
	
		Phases 1: Vérifications syntaxiques
		Phases 2: Vérifications sémantiques
		Phases 3: Vérifications du bytecode
		Phases 4: Vérification des références symboliques

	Le Gestionnaire de Sécurité
		Détermine si un accès à une ressource protégée est permis
		
		C’est le principe de vérifier chaque accès à une ressource. 
		
		Le gestionnaire de sécurité consulte le fichier de stratégie pour déterminer si une action est permise
		
		
	L’inspection de la Pile
		Java utilise un algorithme appelé le stack
inspection 
		L’algorithme:
			• Toutes les cellules d’activation sont examinées
			depuis la plus récente (haut de la pile) jusqu’à la
			plus ancienne (main).
			• La recherche se termine si on rencontre une
			cellule dont le flag d’accès est émis, l’accès est
			autorisé.
			• La recherche se termine si on rencontre une
			cellule externe: l’accès à la ressource est
			interdit.
			• Autrement (code local pour lequel le flag n’est
			pas set), la recherche se poursuit.
			• Si on arrive au bas de la stack, l’accès est 
			
		Les attaques contre Java
			• Les attaques exploitent des vulnérabilités dans la JVM.
			• Il faut contourner la sécurité considérable du langage.
			• 3 types d’attaques:
				• Confusion des types
				• Class spoofing
				• Erreurs dans l’implantation de la JVM
			
		
		Toujours initialiser ses objets, ne pas dépendre
		de la JVM pour s’assurer qu’un objet noninitialisé
		n’est pas appelé.
		• Utiliser le principe du privilège minimal 
			
		Si possible, ne pas signer votre code. Il roulera
avec des privilèges minimaux, ce qui limitera les
dommages qu’il peut faire.

		Ne pas utiliser de classes internes. En
		bytecode, elles seront transformées en classes
		normales. Comme les classes internes ont
		accès aux variables privées de leur classe
		englobante, le privilège de celle-ci est changé de
		private à protected. 


		Si possible, rendre les classes non-serialisable et non-deserialisable.
		
		
Fonction variadiques
	De façon plus générale, à chaque fois qu’un canal
contient à la fois des données et des informations de
contrôle, une vulnérabilité est possible (ex. anciens
téléphones)
		
	Les fonctions de formatage des strings (format string
	functions) sont des fonctions spéciales qui prennent
	un nombre variable d’arguments en entrée.
	• Le nombre d’arguments est spécifié par la string
	passée en paramètre.
	• Aucune vérification de type ou de nombre n’est
	faite sur les paramètres de la fonction. 	
		
	
	une fonction variadique est une fonction d'arité indéfinie, c'est-à-dire qui accepte un nombre variable de paramètres.
	
	printf prend ses arguments dans la pile. Il n’a pas de
	manière de vérifier que la pile contient bien les
	arguments qu’il cherche. De toutes façons, la string
	passée en paramètre peut être dynamique alors le
	compilateur ne pourra jamais savoir si elle est bien
	formée.
	• Cette lacune est la cause des vulnérabilités de
	formatage des strings.


	1er objectif: Faire “crasher” le programme.
		printf(“%s%s%s%s%s%s%s%s%s”);
		si ce n’est pas une adresse valide (ce qui est le plus probable) le programme va s’arrêter. 
		
	2e objectif: Voir le contenu de la pile.
		printf(“%08x. %08x. %08x. %08x. %08x”);
		Si on peut examiner l’output de la fonction, on peut
connaître le contenu de la stack.

	3e objectif: Voir des emplacements en mémoire hors de la pile:
	Comme avec les buffer overflows, on voudrait faire
	exécuter des instructions qui modifieraient le
	pointeur d’instruction (EIP); ou bien modifier un
	pointeur et la valeur qu’il écrit (subterfuge de
	pointeur).
	
	4e objectif: Créer un buffer overflow. (ex. de QPOP 2.53)

		user =“%497d\x3c\x3d\xff\xbf<nops><shellcode>”; ?
		• %497d crée une string de 497 caractères. Si on
		ajoute la string “erreur”, on dépasse la taille
		maximale du buffer.
		• Le deuxième sprintf ne vérifie pas la taille du buffer.
		Il prendra les %497d comme caractères de contrôle.
		• \x3c\x3d\xff\xbf est l’adresse du malware dans la
		string user (ou quelque part dans le nop).
		• Le reste de l’attaque se déroulera comme un buffer
		overflow. 
		
	5e objectif: écrire dans un emplacement en mémoire.
		int i;
		printf ("12345%n", &i);
		Ce code écrit 5 dans la variable i. 
		
		
	Usage potentiellement malicieux:
		int func (char *user){
		printf(user);
		}
	Usage sécuritaire:
		int func(char * user){
		printf(“%s”, user);
		}
	
	SOLUTIONS
		Format Guard
		Libformat
		Libsafe
	
	Ne jamais utiliser les fonctions variadiques sur des entrées usagers. 
	
	
Bonnes Pratiques de programmation
	1. Économie de mécanismes: Gardez le design aussi
	simple que possible. Toute complexité risque une
	vulnérabilité. 

	2. Fail-safe default: Si une situation d’erreur se produit,
	le programme revient à une situation sécuritaire.

		Décision d’accès basée sur l’inclusion plûtot que 		l’exclusion.
		• White list plutôt que black 		list.
		• Par défault, aucun accès n’est acccordé.
	
		L’utilisation de systèmes sur des OS pour lesquels ils
		n’ont pas été initialement conçus, est une source de
		vulnérabilité. 
	
		gérer toutes les erreurs possibles, il faut qu’il y ait un défault pour “autre erreur”
	
	3. Médiation Complète: Chaque accès à chaque objet
est verifié pour s’assurer qu’il est permis. 

	4. Design ouvert: Le design d’un système ne devrait pas
être un secret

	5. Séparation des privilèges: L’authentification se fait
avec au moins deux jetons de types différents.
		Pour devenir admin sur UNIX, il faut connaître le mot
de passe admin et avoir été désigné par un admin. 

	6. Principe du moindre privilège: 
	
	7. Minimiser les mécanismes communs: Si possible,
		utilisez des mécanismes d’accès multiples.
		• Attention, on parle ici des mécanismes d’accès aux
		ressources, pas de la réutilisation du code en général
		
	8. La sécurité doit être psychologiquement acceptable: 
		Toujours garder en compte l’aspect humain de la sécurité.

	REPONSE DE LA PAGE 23 ??????
	
	
Analyse de Risques

	Risque: Problème potentiel auquel un système ou
	ses usagers pourraient faire face.
	Risque = Impact x Probabilité d’occurrence
	
	1. Éviter le risque: En changeant les pratiques de fonctionnement
	2. Transférer le risque: Par exemple au moyen d’une assurance.
	3. Assumer le risque: Prendre des moyens pour réduire le risque à un niveau tolérable.
	
	
	Actifs 		Intégrité 		Disponibilité 		Confidentialité
	La machine					volée
	Logiciel	corrompu		code
	
Perceptions vs Réalité
	Deux aspects largement distincts
	1. Être en sécurité (par rapport à un risque particulier)
	2. Se sentir en sécurité
	
	Pour juger de l’efficacité d’une contre-mesure, il faut	pouvoir mesurer adéquatement:
	 La sévérité du risque
	 La probabilité qu’il se produise
	 Le coût de la contre-mesure
	 L’efficacité de la contre-mesure