Une décennie ! C’est le temps qu’il aura fallu pour que les Critères communs se rapprochent du Saint-Graal : instaurer une approche commune à l’évaluation des technologies de l’information en matière de sécurité. Leurs principaux fondements ont pourtant été posés en 1998, date à laquelle la version 2.1 a obtenu une reconnaissance officielle de l’ISO au travers de la norme 15408. En Europe, les gouvernements allemand, anglais et français lui ont emboîté le pas en signant un accord de reconnaissance mutuelle. Mais la substitution, ici, des Critères communs aux anciens ITSEC se fait pas à pas, tandis que, outre-Atlantique, l’harmonisation entre les Federal Criteria et les Canadian Trusted Computer Products Evaluation Criteria n’est pas encore achevée.
Les éditeurs de logiciels privilégiés
Véritable gage de confiance, l’évaluation est graduée par sept niveaux ascendants (EAL 1, EAL 2, etc.). Elle apporte la transparence dans la comparaison des fonctions de sécurité d’un produit. D’autant plus que, durant les phases de développement de ce dernier, elle peut s’accompagner de la rédaction d’une documentation de ses caractéristiques. Preuve que ce niveau de sécurité ne se brade pas, Robert Hammelrath, directeur de Debis Security Services, avance que “le coût de l’évaluation pour une carte à puce démarre à 100 000 euros et qu’elle peut demander un an “. Cette filiale de T-Systems a évalué la première une application de signature électronique pour cartes à puce à un niveau augmenté EAL 4+.Les Critères communs se prêtent davantage à l’évaluation de logiciels seuls. Les éditeurs de sécurité ?”Américains, en particulier ?”, auxquels ils vont comme un gant, en tirent parti ?” pare-feux, détection d’intrusions, etc. En Europe, la plupart choisissent de faire évaluer leurs produits en Grande-Bretagne. A l’instar d’Entrust, qui a soumis dès 1999 ses logiciels d’autorité de certification à des évaluations EAL 3 et, bientôt, EAL 4 pour la version 6.0. Véritable vétéran de l’évaluation, Oracle est le seul éditeur de systèmes de gestion de bases de données à avoir obtenu le certificat EAL 4. Même Microsoft se prête au jeu. L’évaluation de sa plate-forme Windows 2000, démarrée il y a dix-huit mois, par le laboratoire Science Application International Corporation, traîne cependant en longueur.
Un progrès par rapport aux approches antérieures
Ces éditeurs s’offrent aussi le luxe de critiquer les Critères communs. Pour Mary Ann Davidson, directrice sécurité chez Oracle, l’environnement du web et des développements Java change la donne : raccourcissement des cycles de développement, multiplication des menaces de sécurité, pression accrue du marché. Dans ce cas, selon elle, figer trop longtemps une version d’un logiciel risque de rendre obsolètes les résultats d’une évaluation formelle. Ne rejetant pas en bloc les Critères communs, elle enjoint le Common Criteria Interpretation Management Board de tenir compte de ces évolutions. Toujours est-il que les Critères communs constituent un progrès par rapport aux approches antérieures. “Les TCSEC s’adaptent mal à de multiples environnements, alors que, dans ITSEC, les classes de fonctionnalités se prêtent moins à la formalisation instaurée par les Critères communs”, explique Pascal Chour, directeur du laboratoire de sécurité chez l’évaluateur français AQL. Par contraste, les Critères communs introduisent la notion de “profil de protection “. En tant que brique de base, celui-ci définit le caractère générique propre à une catégorie de produits ?” par exemple, un système de gestion de bases de données. Il est donc réutilisable. Pour ce faire, il sépare les exigences fonctionnelles et les niveaux d’assurance. Son implémentation est encadrée par la définition d’une “cible de sécurité”, rédigée lors de l’évaluation d’un produit, baptisé dès lors “cible d’évaluation”.
Les profils de protection pour cartes à puce se multiplient
Les spécificités de la carte à puce requièrent de nouveaux profils de protection. Le SSVG (Silicon Smart Card Vendors Group) et le SCSUG (Smart Card Security User Group) ont chacun publié le leur. Le premier s’adresse au circuit intégré, et le second aux applications financières pour cartes à puce. Toutefois, des initiatives concurrentes naissent ?” notamment celles de l’association Eurosmart. “Faute d’un large consensus, c’est un peu à qui tire le premier”, regrette Pascal Chour chez AQL. D’autant que les secteurs de la santé et de la téléphonie réfléchissent à leurs propres profils de protection pour cartes à puce. La standardisation de la signature électronique de la European Electronic Signature Standard Initiative produit aussi une batterie de profils de protection pour les différents supports cryptographiques.
Levée de boucliers en France contre la norme BS:7799
Par contraste, la France adopte une démarche iconoclaste. La direction centrale de la sécurité des systèmes d’information prêche pour l’évaluation d’un système. Son cheval de bataille est la norme BS:7799, poussée, à l’origine, par le ministère de l’Industrie britannique. Plusieurs tentatives ont été nécessaires avant que l’ISO ne consente à l’entériner. Le BS:7799 fait l’objet de mises en cause par les fournisseurs français, dont Bull. En réalité, selon le constructeur français, “seule la première partie du BS:7799 a été transposée pour devenir la norme ISO 17799, qui demeure un guide technique utile, mais vis-à-vis de laquelle on ne peut pas se mesurer.”D’autres voient plutôt dans cette approche l’arbre qui cache la forêt. Victime, cet été, de nombreux départs, le service certification de la direction centrale de la sécurité des systèmes d’information s’accroche au profil PP/9806 pour cartes à puce, unanimement jugé désuet. Il tarde en outre à publier le schéma d’accréditation national pour la signature électronique. Même si, de façon générale, les organismes certificateurs européens rechignent à faire une croix sur leurs prérogatives, notamment en ce qui concerne l’évaluation cryptographique. De plus, un fournisseur qui obtient une certification augmentée dans un pays de l’Union est contraint de répéter l’opération dans un autre pays pour bénéficier d’une reconnaissance officielle. Ces entraves, lorsqu’elles sont appliquées par les autorités américaines, sont considérées, ici, comme relevant du protectionnisme et condamnées comme telles !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
