Detecting Privilege Escalation with Temporal Braid Groups

En exploitant l'exposant de Lyapunov de Burau comme sonde algébrique au sein des composantes fortement connexes d'un graphe d'autorisations cloud, cette étude démontre que les statistiques abéliennes sont insuffisantes pour distinguer les régimes de risque dispersés et concentrés, permettant ainsi d'automatiser la détection des élévations de privilèges grâce à l'avantage offert par la non-commutativité.

L'essentiel

🕵️‍♂️ Le Détective des Permissions Cloud : Pourquoi l'ordre compte plus que le nombre

Imaginez que vous gérez un immense château fort (le Cloud) avec des milliers de clés (les permissions). Certains gardes (les identités) ont des clés qui leur permettent d'ouvrir des portes de plus en plus importantes. Le problème ? Parfois, un garde a l'air innocent aujourd'hui, mais demain, il pourrait se retrouver avec les clés du coffre-fort sans qu'on s'en rende compte.

Les chercheurs de ce papier (Christophe Parisel) ont développé un nouveau système pour détecter ces dangers cachés. Voici comment ça marche, sans les maths compliquées.

1. Le Problème : Compter ne suffit pas

Imaginez que vous essayez de prédire si une foule va devenir une émeute.

• L'ancienne méthode (Statistiques "Abéliennes") : Elle compte simplement le nombre de personnes qui crient ou le nombre de portes ouvertes. C'est comme dire : "Il y a 50 cris, donc c'est dangereux."
• Le problème : Cette méthode est aveugle à l'ordre des événements. Si deux personnes crient en même temps, cela peut s'annuler (comme deux vagues qui se heurtent et disparaissent). Si elles crient l'une après l'autre dans un ordre précis, cela peut créer une onde de choc dévastatrice.
• La conclusion du papier : Compter les cris (les permissions) ne suffit pas. Il faut comprendre l'ordre dans lequel ils arrivent.

2. La Solution : Le "Tressage" du Temps (Braid Groups)

Pour voir ce que l'ancienne méthode rate, les chercheurs utilisent une métaphore géométrique appelée Tressage (comme tresser des nattes).

• L'analogie des nattes : Imaginez que chaque garde est un brin de cheveux. Quand un garde change de permission, il croise son chemin avec celui d'un autre garde.
• Le Tressage Temporel : Au lieu de juste compter les croisements, on regarde comment les brins s'entremêlent dans le temps.
  • Si les brins se croisent et se défont immédiatement (annulation), le tressage reste plat. C'est sûr.
  • Si les brins s'entortillent de manière complexe et ne se défont pas, le tressage devient un nœud serré. C'est dangereux.

Ce papier utilise une formule mathématique (l'exposant de Lyapunov de Burau) pour mesurer à quel point ce "tressage" devient serré et complexe.

3. Les Deux Types de Dangers

Le système classe les situations dangereuses en deux catégories, comme deux types de nœuds différents :

• 🎯 Le Nœud "Concentré" (Focused) :

  • L'image : Un entonnoir. Tous les gardes passent par un seul couloir étroit pour monter en grade.
  • Le risque : C'est dangereux, mais c'est facile à régler. Il suffit de changer la permission d'un seul garde (changer la hauteur de l'entonnoir) pour bloquer tout le flux.
  • Remède : Réattribuer les clés (IAM).

• 🌪️ Le Nœud "Éparpillé" (Dispersed) :

  • L'image : Une toile d'araignée complexe ou un enchevêtrement de fils. Il y a des dizaines de chemins différents pour monter en grade, et ils s'entrelacent partout.
  • Le risque : C'est très dangereux. Même si vous changez une permission ici ou là, les autres chemins restent ouverts. Le danger est dans la structure même du château.
  • Remède : Il faut réparer l'architecture du château (ajouter ou supprimer des murs/portes).

4. La Révolution : Pourquoi l'ancien système échoue

Le papier prouve mathématiquement que les méthodes classiques (qui ne font que compter) sont aveugles à la différence entre un "Nœud Concentré" et un "Nœud Éparpillé".

• L'analogie du puzzle : Imaginez deux puzzles avec exactement les mêmes pièces (mêmes permissions).
  • Dans le premier, les pièces s'assemblent pour former une tour stable (sûr).
  • Dans le second, les mêmes pièces forment une tour qui va s'effondrer (dangereux).
  • Le compteur classique voit les mêmes pièces et dit "C'est pareil". Le système de "Tressage" voit l'ordre d'assemblage et dit "Attention, l'un va tomber !"

Les chercheurs ont testé cela sur près de 50 000 scénarios. Ils ont découvert que dans 5,7 % des cas, l'ancien système se trompait complètement : il pensait que c'était sûr alors que c'était dangereux, ou vice-versa.

5. En Résumé : Ce qu'il faut retenir

Ce papier nous dit que pour sécuriser le Cloud, il ne suffit pas de regarder combien de permissions un utilisateur a, ni même quelles permissions il a. Il faut regarder comment elles s'enchaînent dans le temps.

• L'outil magique : Une mesure mathématique (l'exposant de Lyapunov) qui agit comme un détecteur de "nœuds complexes".
• Le résultat : Cela permet de savoir si un problème est facile à régler (changer une permission) ou s'il faut reconstruire une partie du système (changer l'architecture).

C'est un peu comme passer d'une balance qui pèse le nombre de briques à un scanner qui voit si la maison est bien construite ou si elle va s'effondrer. C'est un petit changement de perspective, mais il sauve des vies (ou des données !) en évitant les fausses alertes et en détectant les vrais dangers invisibles.

Résumé technique

1. Problématique et Contexte

La posture de sécurité d'une identité dans le cloud (en particulier les identités non humaines ou NHI) ne peut être évaluée par un simple instantané des permissions. Elle dépend de sa trajectoire temporelle. Deux identités peuvent avoir les mêmes permissions à un instant $t$, mais évoluer différemment : l'une peut s'orienter irréversiblement vers un accès plus large (comportement de « ratchet » ou cliquet), tandis que l'autre oscille dans une enveloppe bornée.

Les travaux précédents (cités comme [1]) ont introduit l'invariant « primorial » pour distinguer les composants fortement connexes (SCC) sûrs (oscillateurs) des SCC à risque (ratchets). Cependant, au sein des ratchets, une distinction cruciale manque pour guider la remédiation :

• Ratchet Focalisé : L'élévation de privilèges passe par peu de chemins. Les annulations non commutatives modèrent la croissance spectrale. La remédiation consiste à réattribuer les privilèges (WAR).
• Ratchet Dispersé : Topologie riche en hubs avec de multiples chemins d'élévation indépendants. Les annulations sont rares, la croissance est exponentielle. La réattribution des privilèges est inefficace ; une chirurgie de la topologie (ajout/suppression d'arêtes) est nécessaire.

Le défi est de détecter cette frontière entre les régimes « focalisé » et « dispersé ». Les statistiques abéliennes classiques (comptage d'arêtes, flux net, taux de déclenchement) échouent à le faire car elles ignorent l'ordre d'exécution et la non-commutativité des opérations.

2. Méthodologie : Groupes de Tresses et Exposant de Lyapunov

L'article propose une approche algébrique basée sur la théorie des groupes de tresses pour modéliser l'évolution temporelle des permissions.

A. Construction des Tresses de Permissions

• Marcheurs NHI : On simule $n$ marcheurs aléatoires indépendants sur un SCC (composant fortement connexe) représentant un ratchet.
• Condition de Porte (Gate Condition) : À chaque étape temporelle, si deux marcheurs adjacents (ordonnés par leur valeur de norme WAR) empruntent simultanément des arêtes dirigées et ascendantes (augmentation de privilège), une « porte » se déclenche.
• Injection de Mot : Chaque déclenchement injecte un mot de tresse spécifique dans le produit accumulé : $\sigma_i^2 \sigma_{i+1}^{-1}$.
  • Ce mot est choisi pour sa propriété de croissance spectrale élevée ($SR \approx 3.732$) et sa structure à signe mixte (positif/négatif), essentielle pour créer des interférences et des annulations non triviales que les statistiques abéliennes ne voient pas.

B. Représentation de Burau et Exposant de Lyapunov (LE)

• Le mot de tresse accumulé est converti en un produit de matrices via la représentation de Burau (spécialisée en $t = -1$ pour obtenir des entiers exacts).
• L'Exposant de Lyapunov (LE) est calculé comme le taux de croissance exponentielle du rayon spectral de ce produit matriciel au fil du temps.
  • Un LE faible indique un régime focalisé (annulations non commutatives dominantes).
  • Un LE élevé indique un régime dispersé (croissance spectrale non contrainte).

C. Preuve d'Impossibilité des Statistiques Abéliennes

Le papier démontre théoriquement (Théorème 6.2) qu'aucune statistique abélienne (comptage d'arêtes, flux net DWS, taux de déclenchement) ne peut déterminer le LE.

• Preuve structurelle : Dans un groupe non abélien, l'ordre des générateurs change le rayon spectral, même si le nombre total de chaque générateur reste identique.
• Preuve par cycle : Un cycle dirigé dans un SCC contribue toujours à 0 pour le flux net de privilèges (DWS) (somme télescopique nulle), mais peut générer une croissance spectrale exponentielle via les tresses si les arêtes sont ascendantes. Les statistiques abéliennes sont donc aveugles à ce canal d'élévation.

3. Contributions Clés

1. Résultat d'impossibilité : Preuve formelle que les statistiques abéliennes ne peuvent pas distinguer les régimes de risque focalisé et dispersé.
2. Classification à deux régimes : Définition d'une frontière basée sur le LE (seuil médian $\approx 0.5847$) pour automatiser la classification et guider la remédiation (réattribution WAR vs chirurgie topologique).
3. Expérience de mélange (Shuffling) : Une expérience empirique montrant que l'ordre temporel des déclenchements réduit systématiquement le rayon spectral par rapport à un ordre aléatoire (84% des cas). Cela prouve que la structure temporelle (non-commutativité) porte un signal d'information réel.
4. Borne inférieure de taux de déclenchement : Démonstration théorique reliant la topologie (hubs, couverture de rayons) à un taux de déclenchement minimal, validant l'approche pour les topologies denses.

4. Résultats Empiriques

L'évaluation a été réalisée sur un corpus de 49 972 paires (SCC, WAR) issues de 1 000 topologies de ratchets générées aléatoirement.

• Discordance des régimes : 5,7% des cas montrent un désaccord entre la classification par LE (Burau) et celle par le taux de déclenchement abélien.
  • Cas FD (Focalisé par Burau, Dispersé par le taux) : Le taux abélien surestime le risque (faux positifs) car il ne voit pas les annulations non commutatives.
  • Cas DF (Dispersé par Burau, Focalisé par le taux) : Le taux abélien sous-estime le risque (faux négatifs) car il ne détecte pas la croissance spectrale issue de cycles ou de structures complexes à flux net nul.
• Corrélation partielle : Après contrôle du taux de déclenchement, le LE temporel conserve une corrélation partielle significative avec la structure du déploiement ($r = 0,175$, $p < 10^{-3}$), tandis que le comptage abélien s'effondre à $r = 0,001$ ($p = 0,98$).
• Cas d'étude : L'analyse de quatre ratchets spécifiques (205, 207, 143, 116) illustre comment la topologie (concentration sur un hub, cycles dirigés) influence la capacité des statistiques abéliennes à prédire le risque, confirmant que seul le LE capture la dynamique réelle.

5. Signification et Impact Opérationnel

Ce travail propose un pipeline de sécurité en deux couches pour la gestion des identités cloud :

1. Filtrage Topologique (Invariant Primorial) : Identifie les SCC sûrs (oscillateurs) vs les SCC à risque (ratchets).
2. Filtrage Non-Abélien (Burau LE) : Pour les ratchets, détermine le régime de risque.
   • Régime Focalisé : Risque gérable par réattribution des privilèges (IAM).
   • Régime Dispersé : Risque critique nécessitant une refonte de l'architecture des permissions (ajout/suppression d'arêtes).

Signification fondamentale :
L'article établit que la sécurité des permissions cloud ne peut être entièrement réduite à des métriques de comptage linéaire. La non-commutativité des opérations d'élévation de privilèges dans le temps crée un signal de risque subtil mais actionnable. L'exposant de Lyapunov de Burau agit comme un « oracle de calibration » indispensable pour éviter les fausses alarmes et les omissions critiques, là où les outils statistiques traditionnels échouent structurellement.

Bien que le signal non-abélien soit petit (corrélations modestes), il est actionnable car il permet de discriminer des régimes de remédiation opposés, évitant ainsi des interventions coûteuses et inutiles sur des systèmes qui seraient en réalité stables, ou inversement, de négliger des architectures structurellement instables.