Passer au contenu

Un label de sécurité pour Windows 2000 Server

Windows 2000 Server SP3 a obtenu la certification EAL4. Ce label indique que ce système d’exploitation offre bien les fonctions que sécurité qu’il prétend… et qu’il peut être vendu au gouvernement américain.

L’évaluation du niveau de sécurité de Windows 2000 Server SP3 aura pris trois ans et coûté plusieurs millions de dollars. A l’issue de cette longue période de tests, le système d’exploitation s’est vu décerné le niveau EAL4 (Evaluation Assurance Level 4) par une organisation indépendante reconnue, l’ organisation des Critères communs.Pourtant, ce label n’indique pas que Windows 2000 est plus sûr qu’un autre système, mais tout simplement que Microsoft n’a pas menti dans ses brochures publicitaires !Les auditeurs ont, en effet, travaillé sur de nombreux documents fournis par Microsoft, qui détaillent l’architecture du système et les fonctions de sécurité mises en oeuvre, afin de vérifier si elles sont bien là, et si elles fonctionnent réellement.Les experts de l’organisation des Critères communs ont également évalué le processus de développement de Windows 2000, de son design à sa commercialisation (procédures et méthodes) et la capacité de l’éditeur à prendre en compte les nouvelles failles de sécurité, les corriger et diffuser le correctif à ses clients.Le résultat indique donc que, oui, Windows 2000 offre bien les fonctions de sécurité annoncées par son éditeur.Mais cette qualification ne porte que sur Windows 2000 installé sur les mêmes plates-formes matérielles et, surtout, configuré de la même manière que la version approuvée par l’organisation des Critères communs (mots de passe changés tous les 42 jours, système de fichiers chiffrés, et jusqu’au Hotfix Q326886 appliqué)…Techniquement, donc, l’avancée n’est guère flagrante : Windows 2000 n’a pas changé.Commercialement, en revanche, cette qualification EAL4 permet à Microsoft d’approcher plus facilement les gouvernements étrangers, dont celui des Etats-Unis, qui exigent souvent un tel label.Et puis c’est aussi un très bon moyen de creuser l’écart avec les logiciels libres, qui eux ne pourront jamais s’offrir une telle qualification. Car même si OpenBSD, par exemple, est l’un des systèmes les plus sûr au monde, aucun logiciel libre ne peut prétendre avoir été développé dans un environnement contrôlé, selon des méthodes normalisées. Ils sont donc exclus d’office de cette course-là. Or, OpenBSD n’a connu qu’une seule faille de sécurité exploitable à distance en six ans, tandis quon ne les compte plus en ce qui concerne les versions professionnelles Windows.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz