Étalonnage de la sûreté de fonctionnement des systèmes d’exploitation – Spécifications et mise en oeuvre

Les développeurs des systèmes informatiques, y compris critiques, font souvent appel à des systèmes d’exploitation sur étagère. Cependant, un mauvais fonctionnement d’un système d’exploitation peut avoir un fort impact sur la sûreté de fonctionnement du système global, d’où la nécessité de trouver des moyens efficaces pour caractériser sa sûreté de fonctionnement. Dans cette thèse, nous étudions l’étalonnage de la sûreté de fonctionnement des systèmes d’exploitation par rapport aux comportements défectueux de l’application. Nous spécifions les propriétés qu’un étalon de sûreté de fonctionnement doit satisfaire. Après, nous spécifions les mesures et la mise en oeuvre des trois étalons destinés à comparer la sûreté de fonctionnement de différents systèmes d’exploitation. Ensuite, nous développons les prototypes des trois étalons. Ces prototypes servent à comparer les différents systèmes d’exploitation des familles Windows et Linux, et pour montrer la satisfaction des propriétés identifiées. ABSTRACT : System developers are increasingly resorting to off-the-shelf operating systems, even in critical application domains. Any malfunction of the operating system may have a strong impact on the dependability of the global system. Therefore, it is important to make available information about the operating systems dependability. In our work, we aim to specify dependability benchmarks to characterize the operating systems with respect to the faulty behavior of the application. We specify three benchmarks intended for comparing the dependability of operating systems belonging to different families. We specify the set of measures and the procedures to be followed after defining the set of properties that a dependability benchmark should satisfy. After, we present implemented prototypes of these benchmarks. They are used to compare the dependability of operating systems belonging to Windows and Linux, and to show that our benchmarks satisfy the identified properties

Caractérisation de la sûreté de fonctionnement de systèmes à base d'intergiciel

Les systèmes critiques sont soumis, comme le reste de l'industrie informatique, à des contraintes de coût de plus en plus sévères. Cette pression pousse les développeurs à privilégier la réutilisation de logiciels, plutôt que de procéder à des développements spécifiques à chaque projet. Cette tendance à l'utilisation de composants logiciels "sur étagère", souvent développés par des tiers, est renforcée par des besoins technologiques de plus en plus complexes, en particulier l'intégration des systèmes dans des réseaux de communication. L'utilisation de composants sur étagère permet aux industriels de se concentrer sur leur domaine de compétence, sans gaspiller de l'effort à redévelopper des fonctions qui ont déjà été implantées dans d'autres secteurs. Cette tendance à la réutilisation, ainsi que l'interconnexion croissante des systèmes, a favorisé l'émergence de standards d'interface, qui permettent l'interopérabilité de systèmes, même lorsqu'ils sont développés par des groupes différents. L'un des standards d'interface pour l'intégration de systèmes est les intergiciels de communication tels que la plate-forme CORBA. Ces intergiciels facilitent l'interaction entre des applications disparates, s'exécutant sur des plates-formes matérielles et logicielles hétérogènes. Pour les intégrateurs de systèmes distribués, ces technologies sont attractives pour plusieurs raisons, autant technologiques qu'économiques : elles constituent un moyen rapide d'intégration de nouvelles technologies, d'augmentation de la souplesse et l'ouverture vers d'autres systèmes. Toutefois, cette attractivité est conditionnée par des craintes concernant la robustesse des composants intergiciels, qui n'ont pas bénéficié de la rigueur du processus de développement utilisé dans le contexte de systèmes critiques. Les intégrateurs de systèmes distribués semi-critiques souhaitent avoir des assurances sur la qualité et la robustesse des composants qu'ils intègrent au sein de leurs systèmes. Ils souhaitent des informations sur les modes de défaillance de l'intergiciel, sur les canaux de propagation d'erreur qu'il introduit. Ils souhaitent avoir des informations quantitatives leur permettant de comparer différentes implémentations candidates du point de vue de la sûreté de fonctionnement, afin de sélectionner le candidat qui est le mieux adapté à leurs besoins. La problématique que nous venons d'énoncer peut se résumer en deux points : - obtenir une meilleure connaissance des types de fautes et d'erreurs qui existent dans les systèmes à base d'intergiciel de communication ; - développer une méthode permettant de caractériser expérimentalement la robustesse de candidats intergiciels. Il existe actuellement très peu de travaux qui permettent de répondre à ces interrogations. L'objectif de cette thèse est de proposer une méthode de caractérisation qui puisse être appliquée à des intergiciels cibles, et de répondre ainsi aux problèmes des intégrateurs de systèmes semi-critiques, ainsi qu'aux développeurs de composants intergiciel. Notre contribution est de proposer une méthodologie pour l'analyse de la sûreté de fonctionnement d'un intergiciel. Notre méthode est basée sur une analyse structurelle des intergiciels de communication, sur l'élaboration d'un modèle de fautes, une classification des modes de défaillance, et le développement d'un ensemble de techniques d'injection de faute adaptées à l'intergiciel. Nous avons validé notre approche en menant des campagnes d'injection de faute ciblant plusieurs implémentations de la norme CORBA. ABSTRACT : We propose a method for the dependability assessment and failure mode characterization of communications middleware. The method is based on the structural analysis of communications-oriented middleware, the identification of a fault model, a failure modes classification, and the development of a number of fault injection techniques that can be used to target middleware implementations. We have applied our method by carrying out fault injection campaigns targeting a number of CORBA implementations, and obtained quantitative measures of the robustness of the different candidates. Our work allows integrators of dependable distributed systems to obtain assurances on the robustness of the software components they place at the heart of their systems, and provides information to middleware vendors regarding robustness failings in their products

Caractérisation de la sûreté de fonctionnement des systèmes d'exploitation en présence de pilotes défaillants

Les pilotes de périphériques composent désormais une part essentielle des systèmes d’exploitation. Plusieurs études montrent qu’ils sont fréquemment à l’origine des dysfonctionnements des systèmes opératoires. Dans ce mémoire, nous présentons une méthode pour l’évaluation de la robustesse des noyaux face aux comportements anormaux des pilotes de périphériques. Pour cela, après avoir analysé et précisé les caractéristiques des échanges entre les pilotes et le noyau (DPI - Driver Programming Interface), nous proposons une technique originale d’injection de fautes basée sur la corruption des paramètres des fonctions manipulées au niveau de cette interface. Nous définissons différentes approches pour l’analyse et l’interprétation des résultats observés pour obtenir des mesures objectives de sûreté de fonctionnement. Ces mesures permettent la prise en compte de différents points de vue afin de répondre aux besoins réels de l’utilisateur. Enfin, nous illustrons et validons l’applicabilité de cette méthode par sa mise en oeuvre dans le cadre d’un environnement expérimental sous Linux. La méthode proposée contribue à la caractérisation de la sûreté de fonctionnement des noyaux vis-à-vis des défaillances des pilotes du système. L’impact des résultats est double : a) permettre au développeur de tels logiciels d’identifier les faiblesses potentielles affectant la sûreté de fonctionnement du système, b) aider un intégrateur dans le choix du composant le mieux adapté à ses besoins

Evaluation de la sûreté de fonctionnement informatique. Fautes physiques, fautes de conception, malveillances

The research summarized in this report focuses on the dependability of computer systems. It addresses several complementary, theoretical as well as experimental, issues that are grouped into four topics. The first topic concerns the definition of efficient methods that aim to assist the users in the construction and validation of complex dependability analysis and evaluation models. The second topic deals with the modeling of reliability and availability growth, that mainly result from the progressive removal of design faults. A method is also defined to support the application of software reliability evaluation studies in an industrial context. The third topic deals with the development and experimentation of a new approach for the quantitative evaluation of operational security. This approach aims to assist the system administrators in the monitoring of operational security, when modifications, that are likely to introduce new vulnerabilities, occur in the system configuration, the applications, the user behavior, etc. Finally, the fourth topic addresses: a) the definition of a development model focussed at the production of dependable systems, and b) the development of assessment criteria to obtain justified confidence that a system will achieve, during its operation and up to its decommissioning, its dependability objectives.Les travaux résumés dans ce mémoire ont pour cadre la sûreté de fonctionnement des systèmes informatiques. Ils couvrent plusieurs aspects complémentaires, à la fois théoriques et expérimentaux, que nous avons groupés en quatre thèmes. Le premier thème traite de la définition de méthodes permettant de faciliter la construction et la validation de modèles complexes pour l'analyse et l'évaluation de la sûreté de fonctionnement. Deux approches sont considérées : les réseaux de Petri stochastiques généralisés et la simulation comportementale en présence de fautes. Le deuxième thème traite de la modélisation de la croissance de fiabilité pour évaluer l'évolution de la fiabilité et de la disponibilité des systèmes en tenant compte de l'élimination progressive des fautes de conception. Ces travaux sont complétés par la définition d'une méthode permettant de faciliter la mise en ¿uvre d'une étude de fiabilité de logiciel dans un contexte industriel. Le troisième thème concerne la définition et l'expérimentation d'une approche pour l'évaluation quantitative de la sécurité-confidentialité. Cette approche permet aux administrateurs des systèmes de suivre l'évolution de la sécurité opérationnelle quand des modifications, susceptibles d'introduire de nouvelles vulnérabilités, surviennent dans la configuration opérationnelle, les applications, le comportement des utilisateurs, etc. Enfin, le quatrième thème porte d'une part, sur l'élaboration d'un modèle de développement destiné à la production de systèmes sûrs de fonctionnement, et d'autre part, sur la définition de critères d'évaluation visant à obtenir une confiance justifiée dans l'aptitude des systèmes à satisfaire leurs exigences de sûreté de fonctionnement, en opération et jusqu'au retrait du service

La mise sous surveillance du "client roi" (analyse sociologique des dispositifs et pratiques d'encadrement des clients-usagers dans les centres commerciaux)

La seconde moitié du 20e siècle a été marquée par le développement accéléré des agences privées de sécurité, principales organisatrices d un marché très florissant, qualifié à tort ou à raison de marché de la peur . Partant de ce constat d une part, et celui d une élévation sans précédent des dépenses et des moyens privés mobilisés par les activités de protection et surveillance d autre part, cette recherche se propose d en interroger les raisons et d en décrire les formes en se situant dans une perspective ancrée dans la sociologie du travail. Le terrain de recherche privilégié ici est le centre commercial. En s inspirant des travaux de Michel Foucault, cette thèse déconstruit les présupposés traits distinctifs entre la sécurité publique et la sécurité privée qui ont longtemps nourri les recherches dans ce domaine en montrant au contraire ce que les deux formes de sécurité ont en commun. L hypothèse ainsi retenue est que l activité de surveillance apparaît comme une nouvelle manière de gérer la distance entre classes sociales, dans un contexte où les barrières géographiques entre classes sont de moins en moins visibles. De ce fait, les surveillants se construisent, sur le tas, des catégories de personnes et d attitudes suspectes à partir de leur stock d expériences personnelles. Par ailleurs, la thèse analyse l identité professionnelle des surveillants, inséparable du fait que la plupart d entre- eux sont immigrés. Pour expliquer cette "ethnicisation", l hypothèse retenue est celle du compromis silencieux entre des immigrés que leur situation sociale, économique ou administrative dispose à accepter des conditions de travail et de rémunération peu attrayantes et des entrepreneurs privés disposés à tirer parti de cette main d œuvre et de l esprit docile qu ils comptent trouver chez elle.In the second half of the twentieth century, the development of agencies of private security has significantly increased. These organizations have become the main part of a flourishing market qualified rightly or wrongly as market of fear . From that fact but also for the significant increase in expenditure and equipment involved in the private security activities, the research aims at questioning the reasons and describing the forms from the labour sociology s perspective. The main fieldwork of the research is the supermarket. Based on the work of Michel Foucault, this PhD thesis deconstructs the presupposed features between public and private security that was in fashion during the past decades, showing the similarities of these two types of security. The hypothesis is that surveillance activity seems to be a new way for the management of the distance between social classes in a context where geographic barriers are becoming less visible. From then on, the staff is trained on the job, referring to a spectrum of suspicious persons and attitudes, based on their personal experiences. Moreover, the thesis reviews the professional identity of these security workers, who are mostly immigrants. This ethnicization finds its roots in a silent compromise between the immigrants who are aware of their social, economic and administrative situation and the (private) employers who want to take profit from this docile manpower.EVRY-Bib. électronique (912289901) / SudocSudocFranceF