Partenaires Logiciels Libres : LinuxGraphic .::. NuXo .::. Generation Libre.::. QuebecOS
Bienvenue sur Logiciel Libre . Net, première ressource francophone sur l'économie du Libre.
Que cherchez-vous ?     ::     Imprimer  ::  Contact  ::  A propos de...  ::  Accueil
 




Sécurité : GNU/Linux et les certifications Common Criteria

Common Criteria est une norme standard (ISO 15408) permettant de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'information. Plusieurs distributions GNU/Linux ont reçu une certification de niveau 2, 3 ou 4. La certification d'un logiciel Open Source reste une chose difficile. Cela tient à son modèle de développement, généralement peu ou pas formalisé, non uniforme et non centralisé.

Par Robert Viseur (site)


Description de Common Criteria

Common Criteria est une norme standard (ISO 15408). Elle permet de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'information. Elle provient de la convergence entre les normes de l'Orange Book de la NSA (aux USA) et celles de l'ITSEC en Europe. Ces dernières sont aussi issues de la convergence de critères français, allemands et britanniques ainsi que, pour une moindre part, du Canada et du Japon. Cette norme permet de vérifier si un produit est sécurisé ou pas. En pratique, elle affecte au produit un niveau de sécurité sur une échelle de 1 à 7 (CC-EAL 2, CC-EAL3, etc). L'ISO 14408 est notamment complémentaire de la norme ISO 17799, orientée processus.

Pour ce type de certification, il n'est pas pertinent de "fantasmer" sur les chiffres. En effet, le niveau d'assurance (EAL n) ne donne pas le niveau de sécurité du système ! Ainsi, on peut avoir un système EAL7 certifié sur 2 critères et un autre système certifié EAL3 sur 150 critères. En pratique, sur base d'une analyse de risques, on établit des profils de protection. La certification permet de vérifier que la protection est effectivement assurée.

Les 7 niveaux d'assurance correspondent respectivement à :

  • EAL1 (testé fonctionnellement)
  • EAL2 (testé structurellement)
  • EAL3 (testé et vérifié méthodiquement)
  • EAL4 (conçu, testé et vérifié méthodiquement)
  • EAL5 (conçu et testé de façon semi-formelle)
  • EAL6 (vérifié, conçu et testé de façon semi-formelle)
  • EAL7 (vérifié, conçu et testé de façon formelle)

GNU/Linux : d'EAL2 à EAL4+

La certification d'un logiciel Open Source n'est pas chose facile. En effet, le développement est généralement peu ou pas formalisé, non uniforme et non centralisé.

Novell (SuSE) et Red Hat ont cependant fait passer leurs distributions par la certification EAL2 puis EAL3. Novell a également passé la certification EAL4.

Obtenue le 28 Juillet 2003 en Allemagne (avec BSI comme certificateur), la certification EAL2+ (Effectiveness Award Level) de SuSE Linux Enterprise Server 8 a été réalisée sur des serveurs IBM eServer xSeries. La certification Red Hat équivalente a été obtenue au Royaume-Uni le 6 Février 2004, avec comme sponsor Oracle, sur du matériel Dell et HP.

La certification porte à la fois sur le système d'exploitation et sur le matériel. On comprend donc l'intérêt pour une société telle qu'IBM ou Dell de financer ce type de certification. En effet, cela est bon pour leur image de marque.

Dès EAL4 apparaît un problème de suivi des contributions au niveau du code source. Pour Windows et, auparavant, Solaris, cela est facile, car ces logiciels sont propriétaires. Le développement est donc centralisé. Il est plus simple de tracer qui fait quoi. Windows 2000 SP3 a d'ailleurs décroché une certification EAL 4+ ; de nombreux systèmes Unix (AIX, HP-UX, etc) sont déjà EAL4.

Pour Mandriva (ou un autre distributeur GNU/Linux), cela est plus difficile dès lors que, par exemple, plus de 1000 développeurs contribuent sur le noyau Linux.

Cela est cependant possible. En mars 2005, Novell a ainsi obtenu en Allemagne une EAL4+ pour SuSE Linux Enterprise Server Version 9. L'opération était à nouveau sponsorisée par IBM.

Vers CC-EAL5 et CC-EAL7 ?

Mandriva travaille sur le développement d’un système d’exploitation basé sur Linux qui répondra au standard de sécurité CC-EAL5. La commande provient du ministère de la défense.

Lynux Works a l'ambition de certifier son produit compatible Linux pour EAL7. Il est cependant difficile à l'heure actuelle de dire si ce projet aboutira.

Sources :

Posté le 10 août 2005.


[Retour aux archives 2005]   ::   [Postez un commentaire]

 

LIENS COMMERCIAUX

 

AUTRES RUBRIQUES D'INTERET

Découvrez le sommaire des archives des news de LogicielLibre.Net


© Robert Viseur @ Ecocentric.be (2003-2024)