Le contrôle d'accès discrétionnaire (DAC) est un type de système de contrôle d'accès qui fournit une politique d'accès déterminée par le propriétaire des données ou de la ressource. Le propriétaire a le pouvoir discrétionnaire d'accorder ou de refuser l'accès à d'autres utilisateurs ou processus.
La genèse et l'évolution du contrôle d'accès discrétionnaire
Le concept de contrôle d'accès discrétionnaire remonte aux premiers jours des systèmes informatiques partagés, en particulier dans le système Multics (Multiplexed Information and Computing Service) développé dans les années 1960. Le système Multics comprenait une forme rudimentaire de DAC, qui est ensuite devenue une source d'inspiration pour les systèmes de contrôle d'accès modernes. La DAC est devenue un concept formalisé avec la publication du « Livre orange » du Département américain de la Défense dans les années 1980, qui définissait plusieurs niveaux de contrôles de sécurité, y compris la DAC.
Élargir la compréhension du contrôle d'accès discrétionnaire
Le contrôle d'accès discrétionnaire est basé sur les principes des privilèges discrétionnaires. Cela signifie que l'individu ou l'entité propriétaire des données ou de la ressource a le pouvoir de décider qui peut accéder à ces données ou ressources. Ce contrôle peut s'étendre aux autorisations de lecture et d'écriture. Sous DAC, une liste de contrôle d'accès (ACL) est conservée, qui spécifie le type d'accès dont dispose un utilisateur ou un groupe d'utilisateurs sur une ressource particulière.
La structure interne et le fonctionnement du contrôle d'accès discrétionnaire
Le modèle DAC repose principalement sur deux composants clés : les listes de contrôle d'accès (ACL) et les tableaux de capacités. Les ACL sont associées à chaque ressource ou objet et contiennent une liste de sujets (utilisateurs ou processus) ainsi que les autorisations qui leur sont accordées. D'un autre côté, les tableaux de capacités conservent une liste d'objets auxquels un sujet particulier peut accéder.
Lorsqu'une demande d'accès est effectuée, le système DAC vérifie l'ACL ou la table de capacités pour déterminer si le demandeur est autorisé à accéder à la ressource. Si l'ACL ou la table de capacités accorde l'accès, la demande est approuvée. Sinon, c'est refusé.
Principales caractéristiques du contrôle d'accès discrétionnaire
- Accès déterminé par le propriétaire: Le propriétaire des données ou de la ressource détermine qui peut y accéder.
- Listes de contrôle d'accès: Une ACL détermine le type d'accès dont dispose chaque utilisateur ou groupe d'utilisateurs.
- Tableaux de capacités: Ces tableaux répertorient les ressources auxquelles un utilisateur ou un groupe d'utilisateurs peut accéder.
- La flexibilité: Les propriétaires peuvent facilement modifier les autorisations selon leurs besoins.
- Contrôle d'accès transitif: Si un utilisateur a accès à une ressource, il peut potentiellement accorder l'accès à un autre utilisateur.
Types de contrôle d'accès discrétionnaire
Bien que DAC puisse être mis en œuvre de différentes manières, les deux approches les plus courantes sont les ACL et les listes de capacités.
| Approche | Description |
|---|---|
| Listes de contrôle d'accès (ACL) | Les ACL sont liées à un objet (un fichier, par exemple) et spécifient quels utilisateurs peuvent accéder à l'objet et quelles opérations ils peuvent y effectuer. |
| Listes de capacités | Les listes de capacités sont liées à un utilisateur et spécifient les objets auxquels l'utilisateur peut accéder et les opérations qu'il peut effectuer sur ces objets. |
Application, défis et solutions du contrôle d'accès discrétionnaire
DAC est largement utilisé dans la plupart des systèmes d'exploitation et systèmes de fichiers, tels que Windows et UNIX, permettant aux utilisateurs de partager des fichiers et des ressources avec des individus ou des groupes choisis.
L’un des défis majeurs de DAC est le « problème confus des adjoints », où un programme peut involontairement divulguer les droits d’accès. Par exemple, un utilisateur peut tromper un programme disposant de davantage de droits d’accès pour qu’il effectue une action en son nom. Ce problème peut être atténué par une programmation minutieuse et une utilisation appropriée des privilèges système.
Un autre problème est le risque de propagation rapide et incontrôlée des droits d'accès, dans la mesure où les utilisateurs ayant accès à une ressource peuvent potentiellement accorder cet accès à d'autres. Ce problème peut être résolu par une éducation et une formation appropriées, ainsi que par des contrôles au niveau du système pour limiter une telle propagation.
Comparaison du contrôle d'accès discrétionnaire avec des termes similaires
| Terme | Description |
|---|---|
| Contrôle d'accès discrétionnaire (DAC) | Les propriétaires ont un contrôle total sur leurs données et ressources. |
| Contrôle d'accès obligatoire (MAC) | Une politique centralisée restreint l'accès en fonction des niveaux de classification. |
| Contrôle d'accès basé sur les rôles (RBAC) | L'accès est déterminé par le rôle de l'utilisateur au sein de l'organisation. |
L’avenir du DAC est susceptible d’évoluer avec la popularité croissante des plateformes basées sur le cloud et des appareils Internet des objets (IoT). Le contrôle d’accès précis, qui permet un contrôle plus détaillé des autorisations, devrait devenir plus courant. De plus, à mesure que les technologies d’apprentissage automatique et d’IA progressent, nous pourrions voir des systèmes DAC capables d’apprendre et de s’adapter à l’évolution des besoins d’accès.
Serveurs proxy et contrôle d'accès discrétionnaire
Les serveurs proxy peuvent utiliser les principes DAC pour contrôler l'accès aux ressources Web. Par exemple, une entreprise peut configurer un serveur proxy qui vérifie l'identité et le rôle de l'utilisateur avant d'autoriser l'accès à certains sites Web ou services Web. Cela garantit que seul le personnel autorisé peut accéder à des ressources en ligne spécifiques, offrant ainsi une couche de sécurité supplémentaire.
Liens connexes
- Sécurité informatique : art et science par Matt Bishop : Une ressource complète sur la sécurité informatique, y compris le contrôle d'accès.
- Comprendre et utiliser le contrôle d'accès discrétionnaire: Un article de CSO, explorant le DAC en détail.
- Publication spéciale NIST 800-12: Le guide de l'Institut national américain des normes et de la technologie sur la sécurité informatique, comprenant une discussion sur le DAC.
- Modèles de contrôle d'accès: Un guide détaillé des différents modèles de contrôle d'accès par O'Reilly Media.
- DAC, MAC et RBAC: Un article scientifique comparant les modèles DAC, MAC et RBAC.
