jeudi 02 juillet
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: IBM, Oracle et Red Hat planchent sur la sécurité de Linux

Posté par Olivier (page perso, ). Modéré le 19 février 2003.
0
IBM, Oracle et Red Hat ont annoncé qu'ils voulaient rendre Linux conforme au programme de certification NIAP (National Information Assurance Partnership). Ce programme est lancé par 2 organismes Américains : l'Institut national des standards et des technologies (NIST) et l'Agence de sécurité nationale (NSA) ...
Au final, c'est une amélioration de la stabilité et de la sécurité du Kernel Linux qui est visé.

Autant cette initiative peut rassurer les entreprises de l'implication de grands noms de logiciels payants dans Linux, et donc faciliter sa pénétration dans les entreprises. Autant le nom de la NSA associé au Kernel Linux peut donner des frissons dans le dos ...

NdM : j'ai ajouté le lien de Security-Enhanced Linux de la NSA

> Lire la suite (37 commentaires, moyenne: 3,1).   [dépêche : 965 caractères]

Intro :
Trois ténors américains de l'industrie logicielle, IBM, Oracle et Red Hat, ont annoncé simultanément la semaine dernière leur volonté de rendre le système Linux conforme au programme de certification du National Information Assurance Partnership (NIAP), un projet lancé par deux organismes fédéraux américains, l'Institut national des standards et des technologies (NIST) et l'Agence de sécurité nationale (NSA), en vue d'évaluer la fidélité des solutions informatiques aux standards internationaux - définis par des consortiums tels que le W3C ou l'IETF.

Baptisé Common Criteria Evaluation and Validation Scheme for IT Security (CCEVS), le programme en question, né d'un partenariat entre secteurs public et privé aux Etats-Unis, se donne pour principal objectif d'assister les entreprises dans le choix de technologies en conformité avec leur condition de sécurité.[...]

La suite sur http://solutions.journaldunet.com/0302/030219_linux.shtml

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux

Posté par Pépé () le 19/02/2003 à 18:34. (lien). Évalué à 3.

Il existe beaucoup de logiciels qui respectent une quelquonque certification de la NSA ? (si oui, où peux t'on touver une liste ?)

Pourquoi des frissons ?

Posté par Spadone Pascal (page perso, ) le 19/02/2003 à 19:03. (lien). Évalué à 12.

Je ne vois vraiment que des avantages à la présence de la NSA. Cela permet de rassurer les entreprises qui hésiteraient à utiliser Linux (si la NSA y participe, cela doit être bien). On peut aussi penser, vu les moyens phénoménaux de la NSA, que la sécurité de Linux pourrait sensiblement augmenter.

Quant aux frissons, comment peut on imaginer que la NSA ajouterait une back-door ou quelque chose du genre sans que la communauté ne s'en apercoive ? L'auteur de la dépèche aurait-il trop regardé X-Files ?

Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux

Posté par matiasf () le 19/02/2003 à 19:17. (lien). Évalué à 9.

RedHat AS est certifié COE :
http://www.redhat.com/about/presscenter/2003/press_coe.html(...)

Sur le site RedHat j'ai trouvé un très intéressant et long papier :
http://www.mitre.org/support/papers/tech_papers_01/kenwood_software(...)

Sinon la certification NIST et NSA c'est pour rassurer les entreprises et faire de la communication dessus. Rien de bien méchant.

Par contre, ce qui est plus embétant, c'est que RedHat pousse beaucoup leur distribe Advanced Server pour l'entreprise. Leur site a été légèrement modifié et la distribution RedHat Linux est mis dans un petit cadre "communauté".
http://www.redhat.com/(...)

Si la gratuite "RedHat Linux" est financé par la payante RH AS, pourquoi pas...

C est pas pour lancer un troll

Posté par doublehp (page perso, ) le 19/02/2003 à 19:50. (lien). Évalué à 7.

C est pas pour lancer un troll , mais pour information, est ce que vous savez si Microsoft a obtenu une quelconque certification de securite ???

Par ce que a part 2 ou 3 OS bien proprios, il y a quoi comme OS certifies ?

-- Doublehp

--
www.doublehp.org
le site qui sera toujours en construction ...

/o\ Bon, je suis bien obligé de corriger autant de bétises...

Posté par TSelek () le 20/02/2003 à 10:38. (lien). Évalué à 18.

Au delà de l'aspect propagandaire habituel repris par la news (non, le marketing c'est autre chose...), quelques remarques :

- les Critères Communs existent depuis un moment... la méthodologie d'évaluation est éprouvée au moins jusqu'au niveau EAL4, après... Donc ce n'est pas nouveau, du tout. Dans le LL, par contre, oui...

- les CC sont une méthodologie d'évaluation sécuritaire à vocation internationnale, d'où le nom, et c'est désormais une norme ISO. Le DCSSI français, le BSI allemand sont aussi impliqués, arretez de loucher sur le NIST ou la NSA avec des yeux ébahis sans aller voir http://www.ssi.gouv.fr/fr/index.html(...) ! C'est qu'il y a un shéma de "reconnaissance mutuelle", mon EAL que j'ai gagné en France, il est valable et reconnu aux USA !

- EAL1 à 7 correspond au niveau d'expertise mis en oeuvre pour apporter la preuve. la preuve de quoi au juste ? on se met d'accord sur un Profil de Protection, le PP, qui est générique. Par exemple le PP utilisé sur l'EAL4 de Windows 2000 SP 3 est un PP sur le controle d'accès. Donc ce profil ne s'interesse qu'à la partie login autrement dit. Que ce Windows soit une plateforme à virus, ça ne concerne pas ce PP en question. Qu'Henry choppe tout ce qui passe en ouvrant Outlook ou IE, le PP s'en fout completement !

- EAL4 correspond à un niveau où l'attaquant a accès au code. l'évaluateur dispose de toute les spécifications, le code et des documents d'assurances quand aux procédures suivies. Oui, ça ressemble pour partie à des process qualité.

- Tout le monde peut écrire un PP, il faut après que les acteurs concernés incluant évaluateurs et certificateurs le valident. Si un PP s'appelle PP Access Control, je peux très bien juger que les principes mis en oeuvre sont désuets ou insuffisants et re-écrire mon propre PP qui si il est meilleur se fera sans doute valider à son tour.

- Ensuite à partir d'un PP (ou de plusieurs, ou de fractions de PP), on instancie une Cible de Sécurité, la ST, qui elle n'est plus générique mais correspond à un produit. Dans la ST de Windows 2000 SP 3 par exemple, MS a très bien pu enlever les points qui la genait dans le PP Access Control. Dans la certif NT précédente, ils n'avaient pas hésiter à enlever le réseau,ce qui montre bien comment on peut arnaquer les gens en leur disant "on a un certif !". Oui, mais sur quel périmètre ? Si cette certif ne reste plus valable dès que je rajoute un périph indispensable (une carte réseau...), ou que je lance une application, ça veut dire quoi ? Oui, on parle bien de bluff. D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs ! Oui, Henry n'a pas de mot de passe, son login est automatique et il a les droits administrateurs... Donc sa config sort de la cible, l'EAL4 n'a plus de sens sur son poste, pauvre Henry, lui qui croyait avoir un truc certifié ! Et croire qu'il puisse exister en production un Windows avec les réglages requis par la ST, on peut toujours être naïf...

- le NIST est maitre des certifs FIPS (spec de methos, certifications), la NSA est cliente en tant que demandeuse de garantie quant à la sécurité de ses propres systèmes (imaginez qu'on puisse pirater Echelon ! quel hacker ne reve pas d'aller lire les mails à GWBush ;)

- le NIST est le certificateur aux USA par exemple. sauf qu'il faut payer un labo pour faire l'évaluation en elle même. Ca coute très cher, ça dure longtemps (Windows 2000 -> certif en 2003 ;), au final il y a un lien financier de plus en plus fort entre l'évalué et l'évaluateur...

- il y a un process de maintenance, autrement dit les menaces sont re-évaluées en permanence et un certif peut tomber à tout moment (en gros c'est mort au bout de 2/3 ans automatiquemen). Au premier patch c'est mort ! Paradoxal non ? On vous dit que c'est certifié sécuritaire, puis qu'il faut patcher dès qu'un correctif sort. PAF ! Au premier patch, la certification n'a plus de sens... ou alors il faudrait repasser l'évaluation à chaque patch, et vu qu'il leur a fallu 3 ans sur Windows pour évaluer juste une partie... on comprend qu'ils se sentent mal pour apporter la preuve de la sécurité sous Windows ! d'ou le lobbying juridique...

- MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS. Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...). Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.

Pour résumer, une image simple : évaluer un OS à un niveau EAL4 sur un PP aussi réduit, c'est comme naviguer sur un bateau dont la proue est une moitié de super-tanker et dont la poupe est une moitié de pédalo !

Tout ça est d'un ridicule...

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.2175s (dont 0.0832 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !