Taint Analysis for Graph APIs Focusing on Broken Access Control

Cet article présente la première approche systématique d'analyse de propagation de données statique et dynamique pour les API Graph, visant à détecter automatiquement les contrôles d'accès brisés en modélisant les appels d'API via des règles de transformation de graphes et en appliquant l'analyse des paires critiques.

L'essentiel

Imaginez que vous gérez une immense bibliothèque numérique (comme GitHub) où des millions de personnes viennent déposer, lire et modifier des livres (des projets de code). Dans ce monde, les données ne sont pas rangées dans des étagères simples, mais sont connectées les unes aux autres comme un immense réseau de routes et de ponts : c'est ce qu'on appelle une API Graphique.

Le problème ? Parfois, le gardien de la bibliothèque fait une erreur. Il laisse entrer un visiteur dans la salle des archives secrètes alors qu'il n'a pas le badge nécessaire, ou au contraire, il empêche un bibliothécaire autorisé d'accéder à un livre qu'il devrait pouvoir consulter. C'est ce qu'on appelle une rupture de contrôle d'accès (Broken Access Control).

Voici comment les auteurs de cet article proposent de résoudre ce problème, expliqué simplement :

1. Le Détective et la Tache de Couleur (L'Analyse de "Taint")

Imaginez que vous avez une encre magique invisible. Dès qu'un objet sensible (comme un fichier privé ou un projet confidentiel) est créé, vous lui mettez une tache de couleur (c'est le "taint" ou la contamination).

• Le but : Suivre cette tache. Si vous voyez cette tache passer d'une personne qui l'a créée à une personne qui n'a pas le droit de la toucher, vous avez trouvé un problème de sécurité.
• La méthode : Les chercheurs utilisent un système appelé "Analyse de Taint". Ils marquent les données sensibles et regardent comment elles voyagent à travers le système.

2. La Carte des Chemins (La Transformation de Graphes)

Pour comprendre comment les données voyagent, ils ne lisent pas le code ligne par ligne (ce qui est fastidieux et sujet aux erreurs). À la place, ils dessinent une carte.

• Chaque action possible (créer un projet, modifier un fichier, supprimer un dossier) est une règle sur cette carte.
• Ils utilisent une technique mathématique appelée "Transformation de Graphes" pour simuler ces règles. C'est comme si vous aviez un jeu de Lego où vous pouvez prédire exactement ce qui se passe si vous assemblez deux pièces d'une certaine manière.

3. Les Deux Étapes de l'Inspection

L'approche se divise en deux phases, comme un inspecteur de police qui travaille d'abord sur papier, puis sur le terrain.

Phase 1 : L'Inspection Théorique (Analyse Statique)

C'est ici que les chercheurs utilisent leur carte mathématique. Ils demandent à un ordinateur : "Est-il possible, théoriquement, que la tache (la donnée sensible) passe du créateur à quelqu'un qui n'a pas le droit ?"

• L'ordinateur utilise une technique appelée Analyse de Paires Critiques. C'est comme vérifier si deux chemins sur la carte peuvent se croiser dangereusement.
• Le résultat : L'ordinateur génère une liste de "scénarios suspects". Par exemple : "Si quelqu'un crée un projet, puis qu'un autre utilisateur essaie de le modifier immédiatement, il y a un risque."
• La limite : Parfois, l'ordinateur est trop prudent et signale des risques qui n'existent pas vraiment (des faux positifs), ou il peut manquer des pièges très complexes où plusieurs étapes intermédiaires sont nécessaires.

Phase 2 : L'Expérience Réelle (Analyse Dynamique)

C'est là que les chercheurs passent à l'action. Ils prennent les scénarios suspects trouvés à l'étape 1 et ils les testent réellement sur l'API (par exemple, sur GitHub).

• Ils créent des tests automatisés (des robots qui agissent comme des utilisateurs).
• Le test positif : Un robot avec les bons pouvoirs essaie de faire l'action. Ça doit marcher.
• Le test négatif : Un robot sans les bons pouvoirs essaie de faire la même action. Ça doit échouer (le système doit dire "Accès refusé").
• Si le robot sans pouvoir réussit à modifier le fichier, BINGO ! Ils ont trouvé une faille de sécurité réelle.

4. L'Exemple Concret : GitHub

Les auteurs ont appliqué cette méthode à GitHub (le site où les développeurs stockent leur code).

• Ils ont simulé des scénarios où un utilisateur essaie de modifier le code d'un projet qu'il ne possède pas.
• Ils ont même reproduit une vraie faille signalée par la communauté de GitHub (un problème où certains utilisateurs pouvaient voir des informations qu'ils ne devraient pas).
• Leur méthode a permis de détecter systématiquement ces failles, confirmant que leur "détective à l'encre magique" fonctionne.

En Résumé

Imaginez que vous voulez sécuriser une maison très complexe avec des centaines de portes et de couloirs.

1. L'approche classique consiste à vérifier chaque porte manuellement (très long, on peut en oublier).
2. L'approche de cet article consiste à :
   • D'abord, dessiner un plan de la maison et simuler tous les chemins possibles pour voir où un voleur pourrait passer (Analyse Statique).
   • Ensuite, envoyer un agent de sécurité tester physiquement les chemins suspects pour voir si la serrure fonctionne vraiment (Analyse Dynamique).

C'est une méthode puissante qui combine la rigueur des mathématiques (pour ne rien oublier) et la réalité du terrain (pour être sûr que ça marche), spécifiquement conçue pour les nouvelles technologies de gestion de données en réseau.

Résumé technique

1. Problématique

Les API Graphiques (notamment basées sur GraphQL) modélisent les données d'applications web sous forme de graphes (nœuds et arêtes). Bien que puissantes, elles introduisent de nouveaux défis de sécurité, en particulier concernant le contrôle d'accès brisé (Broken Access Control - BAC). Ce type de vulnérabilité survient lorsque les utilisateurs peuvent accéder ou manipuler des données ou des fonctionnalités en dehors de leurs privilèges autorisés (par exemple, un utilisateur modifiant une ressource appartenant à un autre).

Les méthodes d'analyse de sécurité existantes sont souvent insuffisantes pour les API graphiques car :

• Elles ne sont pas adaptées à la structure native en graphe des données.
• Elles peinent à détecter systématiquement les flux de données sensibles entre les appels d'API (sources et puits).
• Il manque d'approches combinant analyse statique formelle et tests dynamiques spécifiquement pour les vulnérabilités BAC dans ce contexte.

2. Méthodologie

L'article propose une approche systématique en trois phases, combinant l'analyse de taint (suivi de données non fiables ou sensibles) et la transformation de graphes (Graph Transformation).

A. Formalisation par Transformation de Graphes

L'API Graphique est formalisée comme un système de transformation de graphes :

• Schéma (Type Graph - TG) : Représente la structure des données (nœuds et types).
• Appels API (Règles) : Les requêtes (lectures) et mutations (écritures) sont modélisées comme des règles de transformation (LHS -> RHS).
• Politique d'accès : Décrite via un "oracle de politique" (définition théorique des droits) et une "implémentation de politique" (comportement réel).

B. Phase de Configuration (Setup)

1. Tainting (Marquage) : L'analyste de sécurité identifie les nœuds sensibles dans le schéma (ex: Repository, Issue) et les "taint" (marque comme sensibles).
2. Identification des Sources et Puits :
   • Règles Source : Créent des instances de nœuds taintés.
   • Règles Puits (Sink) : Lisent ou modifient des nœuds taintés.

C. Analyse Statique

L'objectif est de détecter les dépendances potentielles entre les règles sources et puits qui pourraient révéler une faille BAC.

• Analyse de Paires Critiques (CPA) : Utilise l'analyse de dépendance statique (niveau "coarse") pour identifier si une règle source peut créer un nœud qui est ensuite utilisé par une règle puits.
• Flux d'information tainté : Définit les chemins symboliques où des données sensibles circulent.
• Gestion des vulnérabilités indirectes : L'article prouve que l'analyse est saine (sound) pour les vulnérabilités directes (source -> puits immédiat) et pour certaines vulnérabilités indirectes, à condition que les règles intermédiaires soient séquentiellement indépendantes et que la politique soit stable par rapport aux permutations (shift-stable).

D. Analyse Dynamique

L'analyse statique génère des hypothèses (potentiellement des faux positifs). L'analyse dynamique les valide :

• Génération de Tests (Taint Tests) : Création de scénarios d'exécution d'API basés sur les flux identifiés.
• Couverture :
  • Flow Coverage : Vérifie chaque dépendance source-puits.
  • Role Coverage : Vérifie que les tests couvrent les différents rôles (ex: Owner, Collaborator, NoPe-Collaborator) et leurs hiérarchies de privilèges.
• Exécution : Les tests sont exécutés avec des tokens d'authentification différents pour vérifier si l'API rejette correctement les accès non autorisés (tests négatifs) ou autorise les accès légitimes (tests positifs).

3. Contributions Clés

1. Première approche systématique de taint analysis pour les API Graphiques : C'est la première méthode à appliquer l'analyse de flux de données taintés spécifiquement aux API basées sur le modèle de graphe, en se concentrant sur le contrôle d'accès.
2. Formalisation basée sur la Transformation de Graphes : Utilisation rigoureuse de la théorie de la transformation de graphes (approche DPO - Double Pushout) pour modéliser l'API et les règles de sécurité, permettant une analyse formelle et automatisée.
3. Combinaison Analyse Statique/Dynamique :
   • L'analyse statique utilise l'analyse de paires critiques pour identifier les flux à risque de manière complète (pour les cas directs et certains indirects).
   • L'analyse dynamique valide ces risques par l'exécution réelle, garantissant la détection de vulnérabilités réelles.
4. Extension aux vulnérabilités indirectes : L'article étend la portée de l'analyse statique au-delà des dépendances directes, en définissant des conditions sous lesquelles les vulnérabilités indirectes peuvent être réduites à des cas directs (Théorème 3.13).
5. Nouveaux critères de couverture : Introduction de la "couverture de rôle" (Role Coverage) pour s'assurer que les tests valident les politiques d'accès pour tous les niveaux de privilèges.

4. Résultats et Validation

L'approche a été appliquée à deux cas d'étude sur l'API GitHub GraphQL :

• Cas 1 : Exemple étendu (Running Example)

  • Application sur un schéma simplifié incluant des dépôts, des projets et des issues.
  • L'analyse statique a identifié plusieurs dépendances (ex: création d'un dépôt -> mise à jour d'un dépôt).
  • L'analyse dynamique a confirmé que les politiques de GitHub (Owner vs Collaborator) étaient correctement implémentées pour les flux documentés, et a révélé une implémentation implicite de sécurité pour un flux non documenté.

• Cas 2 : Reproduction d'une vulnérabilité réelle (Issue GitHub #106598)

  • L'outil a été utilisé pour reproduire une faille de permissions rapportée dans la communauté GitHub.
  • La vulnérabilité concernait le champ compare (comparaison de branches) qui ne nécessitait pas le scope repo lors de l'authentification par token "fine-grained", contrairement à l'authentification OAuth.
  • Résultat : L'analyse a généré des tests capables de reproduire la faille : le test avec un token OAuth a échoué (comportement attendu), tandis que le test avec un token fine-grained a réussi à accéder aux données sans le scope requis, confirmant la vulnérabilité BAC.

5. Signification et Impact

• Sécurité des API Modernes : Cette recherche comble un vide critique dans la sécurité des API GraphQL, un standard industriel majeur (utilisé par GitHub, Facebook, etc.), pour lequel les outils de sécurité sont encore rares.
• Rigueur Formelle : En utilisant la transformation de graphes, l'approche offre une base mathématique solide pour raisonner sur les flux de données, dépassant les analyses heuristiques souvent utilisées.
• Praticité pour les Analystes : La méthode fournit un cadre structuré (Setup -> Statique -> Dynamique) permettant aux analystes de sécurité de passer d'une politique textuelle à des tests automatisés concrets.
• Futur de l'Automatisation : Bien que la modélisation actuelle nécessite une intervention humaine pour traduire le schéma GraphQL en règles, l'article ouvre la voie vers une automatisation complète (extraction automatique du schéma vers le système de transformation de graphes), comme illustré dans la vision de l'article (Figure 15).

En résumé, cet article propose un cadre robuste et innovant pour détecter et valider les failles de contrôle d'accès dans les API graphiques, en combinant la puissance de l'analyse formelle statique avec la validation empirique dynamique.