Sites amis : LinuxGraphic .::. QuebecOS .::. Jeudis du Libre (BE) .::. Rencontres Mondiales du Logiciel Libre
Bienvenue sur Logiciel Libre . Net, première ressource francophone sur l'économie du Libre.
Que cherchez-vous ?     ::     Imprimer  ::  Contact  ::  A propos de...  ::  Accueil
 

Actualités

Evènements
News
Brèves
News du Net
Archives
Contribuez

Annuaires

Sites
Entreprises
Logiciels

Services

Boutique
Entreprises
Emploi
Formation
Publicité

Etude du Libre

Articles
Etudes de cas
Guide Winoss
Guide Helioss
Contribuez

Le Libre

Quoi ?
Pourquoi ?
Par qui ?
Pour qui ?
Comment ?
Quand ?
Où ?

Newsletter

Dernière édition
Abonnez-vous


Partenaires

Equipement professionnel
Voix sur IP (VoIP)
Techniques Web
Annuaire RSS
Guide ADSL
Forum informatique

Sécurité : GNU/Linux et les certifications Common Criteria

Common Criteria est une norme standard (ISO 15408) permettant de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'information. Plusieurs distributions GNU/Linux ont reçu une certification de niveau 2, 3 ou 4. La certification d'un logiciel Open Source reste une chose difficile. Cela tient à son modèle de développement, généralement peu ou pas formalisé, non uniforme et non centralisé.

Par Robert Viseur (site)

Description de Common Criteria

Common Criteria est une norme standard (ISO 15408). Elle permet de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'information. Elle provient de la convergence entre les normes de l'Orange Book de la NSA (aux USA) et celles de l'ITSEC en Europe. Ces dernières sont aussi issues de la convergence de critères français, allemands et britanniques ainsi que, pour une moindre part, du Canada et du Japon. Cette norme permet de vérifier si un produit est sécurisé ou pas. En pratique, elle affecte au produit un niveau de sécurité sur une échelle de 1 à 7 (CC-EAL 2, CC-EAL3, etc). L'ISO 14408 est notamment complémentaire de la norme ISO 17799, orientée processus.

Pour ce type de certification, il n'est pas pertinent de "fantasmer" sur les chiffres. En effet, le niveau d'assurance (EAL n) ne donne pas le niveau de sécurité du système ! Ainsi, on peut avoir un système EAL7 certifié sur 2 critères et un autre système certifié EAL3 sur 150 critères. En pratique, sur base d'une analyse de risques, on établit des profils de protection. La certification permet de vérifier que la protection est effectivement assurée.

Les 7 niveaux d'assurance correspondent respectivement à :

  • EAL1 (testé fonctionnellement)
  • EAL2 (testé structurellement)
  • EAL3 (testé et vérifié méthodiquement)
  • EAL4 (conçu, testé et vérifié méthodiquement)
  • EAL5 (conçu et testé de façon semi-formelle)
  • EAL6 (vérifié, conçu et testé de façon semi-formelle)
  • EAL7 (vérifié, conçu et testé de façon formelle)

GNU/Linux : d'EAL2 à EAL4+

La certification d'un logiciel Open Source n'est pas chose facile. En effet, le développement est généralement peu ou pas formalisé, non uniforme et non centralisé.

Novell (SuSE) et Red Hat ont cependant fait passer leurs distributions par la certification EAL2 puis EAL3. Novell a également passé la certification EAL4.

Obtenue le 28 Juillet 2003 en Allemagne (avec BSI comme certificateur), la certification EAL2+ (Effectiveness Award Level) de SuSE Linux Enterprise Server 8 a été réalisée sur des serveurs IBM eServer xSeries. La certification Red Hat équivalente a été obtenue au Royaume-Uni le 6 Février 2004, avec comme sponsor Oracle, sur du matériel Dell et HP.

La certification porte à la fois sur le système d'exploitation et sur le matériel. On comprend donc l'intérêt pour une société telle qu'IBM ou Dell de financer ce type de certification. En effet, cela est bon pour leur image de marque.

Dès EAL4 apparaît un problème de suivi des contributions au niveau du code source. Pour Windows et, auparavant, Solaris, cela est facile, car ces logiciels sont propriétaires. Le développement est donc centralisé. Il est plus simple de tracer qui fait quoi. Windows 2000 SP3 a d'ailleurs décroché une certification EAL 4+ ; de nombreux systèmes Unix (AIX, HP-UX, etc) sont déjà EAL4.

Pour Mandriva (ou un autre distributeur GNU/Linux), cela est plus difficile dès lors que, par exemple, plus de 1000 développeurs contribuent sur le noyau Linux.

Cela est cependant possible. En mars 2005, Novell a ainsi obtenu en Allemagne une EAL4+ pour SuSE Linux Enterprise Server Version 9. L'opération était à nouveau sponsorisée par IBM.

Vers CC-EAL5 et CC-EAL7 ?

Mandriva travaille sur le développement d’un système d’exploitation basé sur Linux qui répondra au standard de sécurité CC-EAL5. La commande provient du ministère de la défense.

Lynux Works a l'ambition de certifier son produit compatible Linux pour EAL7. Il est cependant difficile à l'heure actuelle de dire si ce projet aboutira.

Sources :

Posté le 10 août 2005.

[Retournez aux news]   ::   [Postez un commentaire]
Recommandez à un ami
Donnez votre avis
Ajoutez à vos favoris
 

LIENS COMMERCIAUX

 

SOMMAIRE

Evénement Technocité: ''Logiciel Libre à l'usage du service public''

Présentation de Lutèce aux RMLL

Présentation d'Admisource aux RMLL

Session sur l'économie du logiciel libre à Paris Capitale du Libre

Protégeons les standards ouverts

Les logiciels Open Source sont-ils meilleurs que les logiciels commerciaux?

Xara : un exemple récent de passage à l'Open Source

Compiere Inc. lève 6 millions de dollars de fonds capital risque

Jamendo : un futur Sourceforge de la Culture Libre ?

FreeTunes : un moteur de recherche pour l'Open Music

[Forums]
[Backends]
[Plus de news]
[Alerte si news]
[Archives des news]
[Soumettez une news]

AUTRES RUBRIQUES D'INTERET

Lisez les archives des news de LogicielLibre.Net

Découvrez les news du Net de LogicielLibre.Net

Découvrez les news des autres sites (backends) sur LogicielLibre.Net

Les sites de news dans l'annuaire de sites de LogicielLibre.Net

 

BOUTIQUE LIVRES

L

L'Ethique Hacker et l'Esprit de l'ère de l'information (2001)

[Plus de livres]

© Robert Viseur @ Ecocentric.be (2003-2024)