La FRD orientée-objets consiste à transformer une application en considérant la confidentialité des données manipulées par chacun des objets qui la compose. Idéalement, son objectif est de concevoir l'application sous la forme d'une collection d'objets non confidentiels (objets-fragments). Les objets-fragments ainsi identifiés seront disséminés de telle sorte que chaque groupe d'objets localisés sur un même site ne constitue pas une information confidentielle.
Les travaux relatifs à la FRD orientée-objets ont été effectués dans le cadre du projet recherche de base esprit PDCS-2 en collaboration avec Brian Randell et son équipe à l'Université de Newcastle-upon-Tyne (cf. §5.2).
Fragmentation orientée-objets
Les travaux ont porté sur une étude plus précise du mécanisme de fragmentation d'objets confidentiels. Une application traitant de l'information confidentielle peut être organisée de telle sorte que le minimum de traitement soit effectué sur un site sûr protégé alors que le reste de l'application est exécuté sur des ressources de calcul partagées sur lesquelles on ne fait aucune hypothèse particulière.
L'approche consiste tout d'abord à identifier lors de la conception l'information confidentielle. Cette identification repose sur la sémantique du point de vue de la confidentialité des objets qui la composent à un niveau d'abstraction donné. Ainsi, l'application peut être divisée en deux ensembles d'objets : les objets qui traitent de l'information confidentielle et les autres. L'objectif est de minimiser les traitement de données confidentielles. Chaque itération de la conception consiste à examiner les objets confidentiels. Le résultat est une nouvelle collection d'objets dans laquelle idéalement peu d'objets restent confidentiels. L'approche est bien sûr très dépendante de l'application et dans certaines situations le résultat peut ne pas être satisfaisant. Dans d'autres cas, par contre, l'utilisation de serveurs partagés puissants permet d'améliorer les performances de l'application.
Un objet confidentiel est souvent une collection d'objets (sous-objets au sens de la composition) non-confidentiels, ou dont certains seulement sont confidentiels (notion de substitution). La substitution d'objet dépend du niveau d'abstraction où l'on se place : plus le niveau d'abstraction où l'on prend en compte la confidentialité est haut plus la fragmentation est optimale. Pour des objets de niveau d'abstraction faible, la fragmentation peut aussi être opportune pour des opérations coûteuses en temps de calcul si l'on considère des serveurs de traitement de forte puissance. Le lien entre les objets non-confidentiels dans lequel réside le maintien de la confidentialité est conservé en zone sûre.
Nous avons décrit précisément le processus de fragmentation, examiné différents cas de figure en fonction de la granularité de l'objet, et discuté l'incidence de l'approche sur les performances [10].
Conclusion
Cette démarche conceptuelle prend en compte de façon conjointe les fautes accidentelles et les intrusions au niveau du traitement de l'information confidentielle. Basée sur une approche par objet, qui permet d'associer une sémantique claire aux composants d'une application, elle permet de minimiser l'information confidentielle traitée en zone sûre et permet d'optimiser les ressources de calcul partagées sur lesquelles ont ne fait pas d'hypothèse quant à leur sécurité. Cette démarche a été appliquée à des exemples et la fragmentation proprement dite des objets à été étudiée en détail. Une article de synthèse résume l'ensemble de nos travaux et de nos résultats sur la FRD [14]. Enfin, un prototype complet de notre système est actuellement disponible sur un réseau de machines Unix ; il est implémenté actuellement sur un réseau de stations SUN sous UNIX et comporte un système d'authentification par carte à puce, un service d'autorisation et un service de fichiers répartis tolérant les fautes et les intrusions.