ABAC et non RBAC : Bienvenue dans le monde (IoT) de la sécurité contextuelle

Il existe bien plus d’attributs que l’on peut déduire d’une demande de application apparemment simple qu’il n’y paraît à première vue. Il y a bien sûr l'adresse IP. À partir de laquelle on peut déterminer son emplacement. C’est ce qu’on appelle la géolocalisation et c’est une pratique assez courante aujourd’hui de récupérer ces données. Mais on peut également en déduire d’autres attributs, comme « à l’intérieur d’une propriété d’entreprise ». On peut également utiliser une exploration de données un peu plus avancée et déterminer si l'emplacement est ou non typique de l'utilisateur essayant d'accéder à l' application.

Et cela ne concerne qu’une adresse IP. Les paramètres du système d'exploitation et de l'appareil sont facilement accessibles en examinant les en-têtes de la requête HTTP envoyée pour accéder à l' application. Lorsqu’il s’agit d’un navigateur Web, une empreinte digitale encore plus précise peut être réalisée et, par la suite, comparée aux communications précédentes pour déterminer si « Jim » est réellement le même « Jim » auquel vous avez autorisé l’accès dans le passé.

Toutes ces informations, les variables extraites et déduites, constituent ce que l’industrie des contrôleurs de distribution application (ADC) appelle depuis de nombreuses années le « contexte ». Ce contexte est ce qui informe les décisions de sécurité, permet l’innovation dans la livraison et aide à appliquer des techniques d’accélération qui améliorent l’expérience de application .

Il n’était donc pas surprenant de lire cet article annonçant la mort du RBAC et l’introduction de l’ABAC (Attribute Based Access Control).  C'est basé sur le contexte, simplement décrit avec un acronyme beaucoup plus cool qui parle un peu mieux (et qui ressemble à quelque chose de beaucoup plus formel).  L'objectif de l'article (allez-y et lisez-le, je serai là à votre retour...) est vraiment d'éliminer le rôle comme moyen principal d'autorisation et de le remplacer par des attributs et parle davantage d'un mécanisme de contrôle d'accès interne ou interentreprises, mais le concept est largement applicable. Il est largement utilisé dans les solutions anti-fraude , par exemple dans les secteurs bancaire et financier. Vous avez probablement interagi avec l'une d'entre elles dans le passé lorsque vous vous connectez pour effectuer des opérations bancaires ou vérifier vos actions et que, pendant le processus, l'application vous ennuye avec l'une de vos questions de sécurité - parce que vous vous connectez à partir d'un emplacement qui n'est pas habituel pour vous, ou que vous utilisez un nouvel appareil ou un navigateur différent.

Étant donné qu'un pourcentage important de compromissions au cours des 15 dernières années ont été attribuées à des problèmes d'accès aux application (vol d'identifiants, principalement) entraînant des millions de dollars de fraude et de perte d'informations personnelles, ces types de techniques sont de plus en plus importantes pour protéger les données des entreprises et des consommateurs. Selon le rapport 2014 sur la fraude à l'identité de Javelin Strategy & Research : Les violations de données de cartes et les habitudes inadéquates des consommateurs en matière de mots de passe alimentent des tendances de fraude inquiétantes. 61 % des violations en général sont le résultat d'informations d'identification volées. 

Et maintenant, étant donné le nombre croissant de « choses » qui communiqueront avec des applications à travers le monde, le besoin de fournir aux « choses » un accès aux applications est existentiel.

Et cela signifie traditionnellement une certaine forme de diplôme. Des informations d'identification qui peuvent être volées et (ab)utilisées pour causer des ravages sur les systèmes internes, les réseaux et les données.

À ma connaissance, aucune organisation n’envisage sérieusement d’attribuer tout ce dont elle pourrait avoir besoin pour permettre l’accès à un rôle. L’échelle requise pour y parvenir est possible, mais pas pratique. De plus, attribuer des identités individuelles à chaque « chose » semble être un défi insurmontable ; une limite mathématique* qui ne pourra jamais être atteinte. Mais le fait est que ces objets (et leurs propriétaires) auront besoin d’accéder aux applications, dont au moins certaines peuvent se trouver dans votre centre de données. Des applications qui l'activent, le contrôlent et en rendent compte.

Il est important d’en tenir compte avant le déploiement. Avant disponibilité générale. Avant que des millions de consommateurs aient votre « truc », ils essayaient d’accéder à ces applications.

Réfléchissez à la manière dont vous allez fournir un accès sécurisé dès maintenant, avant que cela ne devienne un problème. Concevez une solution basée sur le contexte – sur des attributs – avant qu’elle ne nécessite des mises à jour de micrologiciels ou de logiciels sur des millions d’appareils.

Le fournisseur d'une interface réseau (Ethernet, Bluetooth, etc.) peut être identifié par les adresses MAC . C'est une information très pertinente lors du dépannage sur un réseau local, surtout si l'ingénieur ou l'opérateur peut facilement l'identifier dans une capture de paquets. Il y aura des opportunités avec des « objets » qui offrent le même type d’identification basée sur les attributs qui peuvent aider à concevoir et à mettre en œuvre un système ABAC. Il ne s’agit pas d’adresses MAC, qui ne persistent pas en dehors du domaine local, mais d’autres attributs d’identification des appareils qui peuvent être intégrés dans l’échange de communication et utilisés par les gardiens d’accès pour déterminer la légitimité.

Et étant donné le nombre de choses que vous allez devoir identifier si vous jouez dans le jeu de l’IoT, vous allez vouloir en concevoir et en mettre en œuvre une.

Donc, si vous vous lancez dans l'IoT (et les données de notre prochain rapport sur l'état de la distribution des application 2016 indiquent que bon nombre d'entre vous le font), il n'est vraiment pas trop tôt pour commencer à réfléchir à la manière dont vous allez gérer l'accès en toute sécurité. Appelez cela contexte, appelez cela ABAC, appelez cela autrement. Mais quel que soit le nom que vous lui donnez, ne l’appelez pas quelque chose que vous avez oublié de prendre en compte – et d’agir en conséquence.

*Ok, je l'admets. En fait, ma spécialisation de premier cycle portait sur les mathématiques. Là. Je l'ai dit.