Au final, c'est une amélioration de la stabilité et de la sécurité du Kernel Linux qui est visé.
Autant cette initiative peut rassurer les entreprises de l'implication de grands noms de logiciels payants dans Linux, et donc faciliter sa pénétration dans les entreprises. Autant le nom de la NSA associé au Kernel Linux peut donner des frissons dans le dos ...
NdM : j'ai ajouté le lien de Security-Enhanced Linux de la NSA Intro :
Trois ténors américains de l'industrie logicielle, IBM, Oracle et Red Hat, ont annoncé simultanément la semaine dernière leur volonté de rendre le système Linux conforme au programme de certification du National Information Assurance Partnership (NIAP), un projet lancé par deux organismes fédéraux américains, l'Institut national des standards et des technologies (NIST) et l'Agence de sécurité nationale (NSA), en vue d'évaluer la fidélité des solutions informatiques aux standards internationaux - définis par des consortiums tels que le W3C ou l'IETF.
Baptisé Common Criteria Evaluation and Validation Scheme for IT Security (CCEVS), le programme en question, né d'un partenariat entre secteurs public et privé aux Etats-Unis, se donne pour principal objectif d'assister les entreprises dans le choix de technologies en conformité avec leur condition de sécurité.[...]
La suite sur http://solutions.journaldunet.com/0302/030219_linux.shtml
Aller plus loin
- La news sur le Journal du Net (2 clics)
- La news chez IBM (1 clic)
- Le site du NIST (3 clics)
- NSA SELinux (2 clics)
# Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux
Posté par Pépé . Évalué à 3.
# Pourquoi des frissons ?
Posté par Spadone Pascal . Évalué à 10.
Quant aux frissons, comment peut on imaginer que la NSA ajouterait une back-door ou quelque chose du genre sans que la communauté ne s'en apercoive ? L'auteur de la dépèche aurait-il trop regardé X-Files ?
[^] # Re: Pourquoi des frissons ?
Posté par herve . Évalué à 2.
y'a qulqun qui les utilise au quotidien???
feedback????
paske j'ai vu les paquetages trainer...mais j'ai pas imaginé que ça puisse me servir en tant que poste client.
merci pour vos infos...
H.
[^] # LSM
Posté par free2.org . Évalué à 6.
[^] # NSA = systrace + "domaines"
Posté par free2.org . Évalué à 3.
http://www.nsa.gov/selinux/list-archive/3532.html(...)
par contre je ne pense pas que l'interactivité NSA soit aussi bonne que celle de systrace (interface GTK de systrace... tiens au fait: il vaut mieux savoir maitriser la sécurité de X quand on utilise un outil de type systrace !)
[^] # Re: Pourquoi des frissons ?
Posté par Nÿco (site web personnel) . Évalué à 2.
Backdoor de la NSA ? Ben n'utilise pas leur noyau ! D'ailleurs ils proposent leurs patches comme tous les autres contributeurs du noyau... ça veut dire qu'il peuvent être refusés pour diverses raisons, et sont testées, auditées, etc... mais tu peux t'y mettre : surveille les surveilleurs, décortique leurs patches.
[^] # Re: Pourquoi des frissons ?
Posté par Spadone Pascal . Évalué à 4.
[^] # Re: Pourquoi des frissons ?
Posté par Prae . Évalué à 2.
C'est pour cela que les developpeurs kernels ne l'intégre pas ...
[^] # Re: Pourquoi des frissons ?
Posté par gradix . Évalué à 0.
pas une backdoor, mais en auditant le code elle va certainement trouvé des failles encore non-découvertes grâce a ses moyens colossaux et elle peut s'en servir contre des entreprises / autres gouvernement avant de les publier... évidemment n'importe qui peut faire ca, mais la NSA a l'avantage d'avoir d'énorme moyens...
si elle apporte les correctifs et partage ses découvertes --> bénéfice pour tout le monde, sinon...
[^] # bof...
Posté par Beurt . Évalué à 0.
[^] # Re: bof...
Posté par isydor . Évalué à -3.
[^] # Re: bof...
Posté par PLuG . Évalué à 2.
Donc dans le fait qu'elle participe j'y vois plutot du bien.
[^] # Re: Pourquoi des frissons ?
Posté par doublehp (site web personnel) . Évalué à 2.
Mais si ils les corigent, la ca fait effectivement avancer les choses ...
Question a 2 roubles :
¿¿¿ Les patches de la NSA sont proposés sous quelle liscence ???
-- dhp
apt-get remove ispell
[^] # Re: Pourquoi des frissons ?
Posté par matiasf . Évalué à 1.
# Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux
Posté par matiasf . Évalué à 9.
http://www.redhat.com/about/presscenter/2003/press_coe.html(...)
Sur le site RedHat j'ai trouvé un très intéressant et long papier :
http://www.mitre.org/support/papers/tech_papers_01/kenwood_software(...)
Sinon la certification NIST et NSA c'est pour rassurer les entreprises et faire de la communication dessus. Rien de bien méchant.
Par contre, ce qui est plus embétant, c'est que RedHat pousse beaucoup leur distribe Advanced Server pour l'entreprise. Leur site a été légèrement modifié et la distribution RedHat Linux est mis dans un petit cadre "communauté".
http://www.redhat.com/(...)
Si la gratuite "RedHat Linux" est financé par la payante RH AS, pourquoi pas...
[^] # Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux
Posté par isydor . Évalué à -1.
[^] # Re: IBM, Oracle et Red Hat planchent sur la sécurité de Linux
Posté par matiasf . Évalué à 1.
# C est pas pour lancer un troll
Posté par doublehp (site web personnel) . Évalué à 7.
Par ce que a part 2 ou 3 OS bien proprios, il y a quoi comme OS certifies ?
-- Doublehp
[^] # Re: C est pas pour lancer un troll
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: C est pas pour lancer un troll
Posté par Olivier Jeannet . Évalué à 7.
[^] # Re: C est pas pour lancer un troll
Posté par Beretta_Vexee . Évalué à 10.
[^] # Re: C est pas pour lancer un troll
Posté par Schwarzy . Évalué à 10.
[^] # Re: C est pas pour lancer un troll
Posté par jojo2002 . Évalué à 3.
[^] # Re: C est pas pour lancer un troll
Posté par TSelek . Évalué à 1.
Tes maneuvres sont aussi élégantes que celles de ton patron devant les procès : en gros c'est trop compliqué pour que les gens comprennent, ils ne comprendront jamais pourquoi on est coupables. D'ailleurs en 2 pages, un peu plus bas, je ne fais qu'effleurer le sujet, tu as donc beau jeu à pratiquer le raccourcis, n'empeche que de ta part ça reste une arnaque intellectuelle.
[^] # Re: C est pas pour lancer un troll
Posté par Ben A. . Évalué à 4.
Windows NT 3.51 (et NT 4) ont obtenu une certification C2 par le NCSC ( un vieil article ici : http://www.winnetmag.com/Articles/Index.cfm?ArticleID=2293(...) )
Sont aussi certifiés : NetWare, Solaris, Irix, AIX .
Certains vont jusqu'a sortir des versions spécifiques d'OS pour pouvoir passer des certifications superieures (comme Trusted Irix qui passe la certif B1).
Pour completer, voici une liste d'OS avec leur certification :
http://www.radium.ncsc.mil/tpep/epl/historical.html(...)
Je crois aussi me souvenir que ce type de certification n'est valable qu'avec le contexte de la plateforme et notamment qu'elle inclue des règles d'acces a la machine physique (pour eviter que n'importe qui puisse taxer le disque dur amovible ou les cassettes de sauvegarde).
# /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 10.
- les Critères Communs existent depuis un moment... la méthodologie d'évaluation est éprouvée au moins jusqu'au niveau EAL4, après... Donc ce n'est pas nouveau, du tout. Dans le LL, par contre, oui...
- les CC sont une méthodologie d'évaluation sécuritaire à vocation internationnale, d'où le nom, et c'est désormais une norme ISO. Le DCSSI français, le BSI allemand sont aussi impliqués, arretez de loucher sur le NIST ou la NSA avec des yeux ébahis sans aller voir http://www.ssi.gouv.fr/fr/index.html(...) ! C'est qu'il y a un shéma de "reconnaissance mutuelle", mon EAL que j'ai gagné en France, il est valable et reconnu aux USA !
- EAL1 à 7 correspond au niveau d'expertise mis en oeuvre pour apporter la preuve. la preuve de quoi au juste ? on se met d'accord sur un Profil de Protection, le PP, qui est générique. Par exemple le PP utilisé sur l'EAL4 de Windows 2000 SP 3 est un PP sur le controle d'accès. Donc ce profil ne s'interesse qu'à la partie login autrement dit. Que ce Windows soit une plateforme à virus, ça ne concerne pas ce PP en question. Qu'Henry choppe tout ce qui passe en ouvrant Outlook ou IE, le PP s'en fout completement !
- EAL4 correspond à un niveau où l'attaquant a accès au code. l'évaluateur dispose de toute les spécifications, le code et des documents d'assurances quand aux procédures suivies. Oui, ça ressemble pour partie à des process qualité.
- Tout le monde peut écrire un PP, il faut après que les acteurs concernés incluant évaluateurs et certificateurs le valident. Si un PP s'appelle PP Access Control, je peux très bien juger que les principes mis en oeuvre sont désuets ou insuffisants et re-écrire mon propre PP qui si il est meilleur se fera sans doute valider à son tour.
- Ensuite à partir d'un PP (ou de plusieurs, ou de fractions de PP), on instancie une Cible de Sécurité, la ST, qui elle n'est plus générique mais correspond à un produit. Dans la ST de Windows 2000 SP 3 par exemple, MS a très bien pu enlever les points qui la genait dans le PP Access Control. Dans la certif NT précédente, ils n'avaient pas hésiter à enlever le réseau,ce qui montre bien comment on peut arnaquer les gens en leur disant "on a un certif !". Oui, mais sur quel périmètre ? Si cette certif ne reste plus valable dès que je rajoute un périph indispensable (une carte réseau...), ou que je lance une application, ça veut dire quoi ? Oui, on parle bien de bluff. D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs ! Oui, Henry n'a pas de mot de passe, son login est automatique et il a les droits administrateurs... Donc sa config sort de la cible, l'EAL4 n'a plus de sens sur son poste, pauvre Henry, lui qui croyait avoir un truc certifié ! Et croire qu'il puisse exister en production un Windows avec les réglages requis par la ST, on peut toujours être naïf...
- le NIST est maitre des certifs FIPS (spec de methos, certifications), la NSA est cliente en tant que demandeuse de garantie quant à la sécurité de ses propres systèmes (imaginez qu'on puisse pirater Echelon ! quel hacker ne reve pas d'aller lire les mails à GWBush ;)
- le NIST est le certificateur aux USA par exemple. sauf qu'il faut payer un labo pour faire l'évaluation en elle même. Ca coute très cher, ça dure longtemps (Windows 2000 -> certif en 2003 ;), au final il y a un lien financier de plus en plus fort entre l'évalué et l'évaluateur...
- il y a un process de maintenance, autrement dit les menaces sont re-évaluées en permanence et un certif peut tomber à tout moment (en gros c'est mort au bout de 2/3 ans automatiquemen). Au premier patch c'est mort ! Paradoxal non ? On vous dit que c'est certifié sécuritaire, puis qu'il faut patcher dès qu'un correctif sort. PAF ! Au premier patch, la certification n'a plus de sens... ou alors il faudrait repasser l'évaluation à chaque patch, et vu qu'il leur a fallu 3 ans sur Windows pour évaluer juste une partie... on comprend qu'ils se sentent mal pour apporter la preuve de la sécurité sous Windows ! d'ou le lobbying juridique...
- MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS. Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...). Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.
Pour résumer, une image simple : évaluer un OS à un niveau EAL4 sur un PP aussi réduit, c'est comme naviguer sur un bateau dont la proue est une moitié de super-tanker et dont la poupe est une moitié de pédalo !
Tout ça est d'un ridicule...
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 4.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par Olivier Jeannet . Évalué à 2.
Ils ont probablement un peu d'avance, mais d'où sors-tu ton chiffre de 10 ans ? Je pense qu'on fantasme un peu sur les capacités de la NSA. Une FAQ courte et intéressante à lire, amusante en plus, qui donne un ordre de grandeur de l'avance de la NSA : http://www.ifrance.com/maliks/faq-cle.html(...) (un peu lent le site d'IFrance mais la page originale http://www.di.ens.fr/~pornin/faq-cle.html(...) n'existe plus).
4. Les diverses rumeurs
* 4.1. La NSA/DST/autre peut casser des clés de 128 bits.
* 4.2. La NSA/DST/autre possède des ordinateurs quantiques.
* 4.3. La NSA/DST/autre connaît des méthodes de cryptanalyses avancées.
* 4.4. Je suis employé par la NSA/DST/autre pour faire croire au public que les chiffrements en 128 bits sont sûrs.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 1.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 3.
On dirait qu'ils découvrent les CC qui existent depuis des années déjà, et qu'ils n'ont toujours pas compris que c'est un programme internationnal, les US avaient déjà les Yellow books et autres FIPS qui sont deprecated.
les specs de base des CC (en français ! comme quoi suffisait de savoir lire) http://www.ssi.gouv.fr/fr/confiance/methodologie.html(...)
la liste des produits certifiés en France (notez que ça s'arrete à EAL4+) http://www.ssi.gouv.fr/fr/confiance/certificats.html(...)
mais bon manifestement tout le monde n'est pas anti-américain en France, en tout cas pas le JDN pour qui hors des US pas de salut !
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par pasBill pasGates . Évalué à -1.
Bref, tu ne sais pas ce qu'ils ont fait a la PP.
D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs !
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)
Suffit de chercher 5s sur Google pourtant.
MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS
La tu gagnes tout de suite une credibilite enorme.
Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...).
Ah oui c'est vrai, j'ai oublie que j'etais expert de ces certifications, j'ai simplement repris la news et rien d'autre, toi bien sur faut que tu y vois un complot mondial.
Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.
Heureusement que la diffamation n'est pas une faute professionnelle dans ton job, sinon t'aurais ete licencie depuis un moment deja.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à -1.
Si, je le sais. ils n'ont rien fait à la PP. Apprends donc qu'ils ne peuvent pas modifier un PP, et que c'est dans l'instanciation de la ST qu'on peut le faire.
>>style la config qu'on ne trouve nul part ailleurs !
>Suffit de chercher 5s sur Google pourtant.
je parlais de ce qui se passe sur le terrain, pas dans la théorie ou dans un labo MS. Google n'a rien à voir avec ça, il ne donne pas comment sont configurés les postes quand même !
>La tu gagnes tout de suite une credibilite enorme.
monsieur "mauvaise foi" qu'on t'appelle, t'es au courant ? franchement, on peut mettre "crédibilité" et "MS" dans la même phrase sans avoir envie de rigoler ? MDR ;)
>j'ai simplement repris la news et rien d'autre
sauf que c'est toi même qui a parlé en premier du PP Access Control dans une news précédente, celle que tu as qualifié de "troll" plus haut. Et sur celle-ci, pouf, t'en parles plus comme par magie !
>Heureusement que la diffamation n'est pas une faute professionnelle dans ton job
tu penses ce que tu veux, mais moi je ne mens ni aux juges (d'ailleurs moi personne ne me fait de procès) ni à mes clients.
bref, t'es bien gentil mais pas très constructif. plutôt à coté de la plaque même. alors sois gentil jusqu'au bout : plutôt que d'affimer des raccourcis trompeurs sur un sujet que tu ne maitrises pas, ne dis rien.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par pasBill pasGates . Évalué à 0.
Ben si justement, ils t'expliquent comment configurer les systemes pour qu'ils soient conforme a ce qui est necessaire pour la certif. Mais bon, fallait lire le lien pour ca.
sauf que c'est toi même qui a parlé en premier du PP Access Control dans une news précédente
Ah oui ? Vas y montre moi le lien !
C'est la 1ere fois que j'entends parler de ca, j'aurais du mal a l'ecrire sans le connaitre :+)
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 1.
De toute façon on est à un stade où les admins n'ont pas le temps de patcher voir même refusent d'appliquer le SP3 pour des raisons de stabilité, alors ton pauvre lien sur une config que personne n'a les moyens de mettre en oeuvre, c'est une bonne blague. Et puis j'ai écrit "comment sont" pas "comment doivent"...
Cette petite diversion n'enlève rien au fait que sur l'essence même de mon premier post tu n'ais rien à repliquer.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par pasBill pasGates . Évalué à 0.
Ben si tu l'as invente, cf. ton post plus bas.
De toute façon on est à un stade où les admins n'ont pas le temps de patcher voir même refusent d'appliquer le SP3 pour des raisons de stabilité
Bien sur, en fait les millions de download qu'on a eu du SP3 ont ete faits par des schtroumpfs je pense.
Cette petite diversion n'enlève rien au fait que sur l'essence même de mon premier post tu n'ais rien à repliquer.
J'ai replique sur ce qui me faisait tiquer, le reste si je n'y ai pas repondu c'est que j'etais pas forcement contre.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par TSelek . Évalué à 1.
cai assez bien vu pour quelqu'un qui ose dire C'est la 1ere fois que j'entends parler de ca, j'aurais du mal a l'ecrire sans le connaitre :+) bon tu n'y parle pas de PP mais 1/ quant on écrit ce que tu as écris plus haut, on ne peut pas ne pas connaitre le PP 2/ c'est toi qui est chez MS, pas moi, donc c'est pas moi qui l'ai inventé non plus. Et de plus je ne vois pas qui d'autre que toi aurait pu me l'apprendre... Le problème c'est que pas mal de tes posts sont desormais scorés négatifs et là on est mal pour chercher dedans (et je pense que tu sais très bien ce qu'il en est)...
cai sur http://linuxfr.org/2002/12/10/10615.html(...) très interessant au demeurant quant à ta dialectique de troll-fudeur.
[^] # Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Posté par pasBill pasGates . Évalué à 0.
1) Eh non, quand on ecrit ce que j'ecrit on ne connait pas forcement le PP
2) Oui c'est moi qui est chez MS, et oh miracle, etre chez MS ne signifie pas etre un specialiste des certifications.
Le problème c'est que pas mal de tes posts sont desormais scorés négatifs et là on est mal pour chercher dedans (et je pense que tu sais très bien ce qu'il en est)...
Bah si tu sais utiliser Google c'est pas sense etre si dur. Le prob etant que si tu mets "pasbill" et "PP" dans ta recherche, tu tombes sur 2 liens sur des news linuxfr qui n'ont rien a voir. Pas trace de moi et PP au sens ou tu l'entends. C'est con hein ?
Bref, comme d'hab tu sors des conneries sur moi sans avoir la moindre idee de quoi tu parles.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.