Articles : IBM, Oracle et Red Hat planchent sur la sécurité de Linux
Posté par Olivier (page perso, ). Modéré le 19 février 2003.
Au final, c'est une amélioration de la stabilité et de la sécurité du Kernel Linux qui est visé.
Autant cette initiative peut rassurer les entreprises de l'implication de grands noms de logiciels payants dans Linux, et donc faciliter sa pénétration dans les entreprises. Autant le nom de la NSA associé au Kernel Linux peut donner des frissons dans le dos ...
NdM : j'ai ajouté le lien de Security-Enhanced Linux de la NSA
![[fr]](../images/fr.png)
La news sur le Journal du Net (606 hits)![[en]](../images/en.png)
La news chez IBM (369 hits)-
Le site du NIST (330 hits)
-
NSA SELinux (450 hits)
> Lire la dépêche (37 commentaires, moyenne: 3,1).
Vous avez demandé le commentaire #175211.
Run by 
Cette page a été générée par Templeet en 0.067s (dont 0.0061 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
/o\ Bon, je suis bien obligé de corriger autant de bétises...
Au delà de l'aspect propagandaire habituel repris par la news (non, le marketing c'est autre chose...), quelques remarques :
- les Critères Communs existent depuis un moment... la méthodologie d'évaluation est éprouvée au moins jusqu'au niveau EAL4, après... Donc ce n'est pas nouveau, du tout. Dans le LL, par contre, oui...
- les CC sont une méthodologie d'évaluation sécuritaire à vocation internationnale, d'où le nom, et c'est désormais une norme ISO. Le DCSSI français, le BSI allemand sont aussi impliqués, arretez de loucher sur le NIST ou la NSA avec des yeux ébahis sans aller voir http://www.ssi.gouv.fr/fr/index.html(...) ! C'est qu'il y a un shéma de "reconnaissance mutuelle", mon EAL que j'ai gagné en France, il est valable et reconnu aux USA !
- EAL1 à 7 correspond au niveau d'expertise mis en oeuvre pour apporter la preuve. la preuve de quoi au juste ? on se met d'accord sur un Profil de Protection, le PP, qui est générique. Par exemple le PP utilisé sur l'EAL4 de Windows 2000 SP 3 est un PP sur le controle d'accès. Donc ce profil ne s'interesse qu'à la partie login autrement dit. Que ce Windows soit une plateforme à virus, ça ne concerne pas ce PP en question. Qu'Henry choppe tout ce qui passe en ouvrant Outlook ou IE, le PP s'en fout completement !
- EAL4 correspond à un niveau où l'attaquant a accès au code. l'évaluateur dispose de toute les spécifications, le code et des documents d'assurances quand aux procédures suivies. Oui, ça ressemble pour partie à des process qualité.
- Tout le monde peut écrire un PP, il faut après que les acteurs concernés incluant évaluateurs et certificateurs le valident. Si un PP s'appelle PP Access Control, je peux très bien juger que les principes mis en oeuvre sont désuets ou insuffisants et re-écrire mon propre PP qui si il est meilleur se fera sans doute valider à son tour.
- Ensuite à partir d'un PP (ou de plusieurs, ou de fractions de PP), on instancie une Cible de Sécurité, la ST, qui elle n'est plus générique mais correspond à un produit. Dans la ST de Windows 2000 SP 3 par exemple, MS a très bien pu enlever les points qui la genait dans le PP Access Control. Dans la certif NT précédente, ils n'avaient pas hésiter à enlever le réseau,ce qui montre bien comment on peut arnaquer les gens en leur disant "on a un certif !". Oui, mais sur quel périmètre ? Si cette certif ne reste plus valable dès que je rajoute un périph indispensable (une carte réseau...), ou que je lance une application, ça veut dire quoi ? Oui, on parle bien de bluff. D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs ! Oui, Henry n'a pas de mot de passe, son login est automatique et il a les droits administrateurs... Donc sa config sort de la cible, l'EAL4 n'a plus de sens sur son poste, pauvre Henry, lui qui croyait avoir un truc certifié ! Et croire qu'il puisse exister en production un Windows avec les réglages requis par la ST, on peut toujours être naïf...
- le NIST est maitre des certifs FIPS (spec de methos, certifications), la NSA est cliente en tant que demandeuse de garantie quant à la sécurité de ses propres systèmes (imaginez qu'on puisse pirater Echelon ! quel hacker ne reve pas d'aller lire les mails à GWBush ;)
- le NIST est le certificateur aux USA par exemple. sauf qu'il faut payer un labo pour faire l'évaluation en elle même. Ca coute très cher, ça dure longtemps (Windows 2000 -> certif en 2003 ;), au final il y a un lien financier de plus en plus fort entre l'évalué et l'évaluateur...
- il y a un process de maintenance, autrement dit les menaces sont re-évaluées en permanence et un certif peut tomber à tout moment (en gros c'est mort au bout de 2/3 ans automatiquemen). Au premier patch c'est mort ! Paradoxal non ? On vous dit que c'est certifié sécuritaire, puis qu'il faut patcher dès qu'un correctif sort. PAF ! Au premier patch, la certification n'a plus de sens... ou alors il faudrait repasser l'évaluation à chaque patch, et vu qu'il leur a fallu 3 ans sur Windows pour évaluer juste une partie... on comprend qu'ils se sentent mal pour apporter la preuve de la sécurité sous Windows ! d'ou le lobbying juridique...
- MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS. Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...). Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.
Pour résumer, une image simple : évaluer un OS à un niveau EAL4 sur un PP aussi réduit, c'est comme naviguer sur un bateau dont la proue est une moitié de super-tanker et dont la poupe est une moitié de pédalo !
Tout ça est d'un ridicule...
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
J'ajoute à propos de la contribution de NSA que c'est acceptable dans la mesure où ça concerne le process de dev (design, specs, docs) bref tant qu'on reste dans le domaine de la qualité qui sont des exigences des CC, ou des choses simples que l'on puisse analyser nous même. Par contre, les laisser améliorer les algos cryptos, là pas question ! Ils ont 10 ans d'avance en matière d'analyse crypto-mathématique théorique et là personne ne peut lutter...
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
[la NSA] Ils ont 10 ans d'avance en matière d'analyse crypto-mathématique théorique et là personne ne peut lutter...
Ils ont probablement un peu d'avance, mais d'où sors-tu ton chiffre de 10 ans ? Je pense qu'on fantasme un peu sur les capacités de la NSA. Une FAQ courte et intéressante à lire, amusante en plus, qui donne un ordre de grandeur de l'avance de la NSA : http://www.ifrance.com/maliks/faq-cle.html(...) (un peu lent le site d'IFrance mais la page originale http://www.di.ens.fr/~pornin/faq-cle.html(...) n'existe plus).
4. Les diverses rumeurs
* 4.1. La NSA/DST/autre peut casser des clés de 128 bits.
* 4.2. La NSA/DST/autre possède des ordinateurs quantiques.
* 4.3. La NSA/DST/autre connaît des méthodes de cryptanalyses avancées.
* 4.4. Je suis employé par la NSA/DST/autre pour faire croire au public que les chiffrements en 128 bits sont sûrs.
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
10 ans entre la S-Box du DES spécifiée par la NSA et la justification mathématique suivant les connaissances publiques... (j'ai la flemme, templeet me bouffe les comments...)
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
J'ajoute (encore ...) que l'article du JDNet est une vraie m****, c'est même un scandale que de publier des choses pareilles et on comprend qu'on ne puisse pas apporter de commentaires à leurs news. La news chez IBM au moins est correcte...
On dirait qu'ils découvrent les CC qui existent depuis des années déjà, et qu'ils n'ont toujours pas compris que c'est un programme internationnal, les US avaient déjà les Yellow books et autres FIPS qui sont deprecated.
les specs de base des CC (en français ! comme quoi suffisait de savoir lire) http://www.ssi.gouv.fr/fr/confiance/methodologie.html(...)
la liste des produits certifiés en France (notez que ça s'arrete à EAL4+) http://www.ssi.gouv.fr/fr/confiance/certificats.html(...)
mais bon manifestement tout le monde n'est pas anti-américain en France, en tout cas pas le JDN pour qui hors des US pas de salut !
[+] [^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Dans la ST de Windows 2000 SP 3 par exemple, MS a très bien pu enlever les points qui la genait dans le PP Access Control.
Bref, tu ne sais pas ce qu'ils ont fait a la PP.
D'autant plus que la ST a du forcer (déjà pourquoi SP3, heing ? inutile de me répondre....) des paramètres dans le Windows 2000 SP3, style la config qu'on ne trouve nul part ailleurs !
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)
Suffit de chercher 5s sur Google pourtant.
MSUSA, l'anté-LINUXFR, aka pbpg, est un évangéliste payé pour surfer les forums francophones et y repandre le FUD MS
La tu gagnes tout de suite une credibilite enorme.
Il n'y a pas de raison honnête que quelqu'un d'aussi bien informé que lui se permette de commettre l'amalgame "Windows 2000 SP3 a une certif EAL4 PP Access Control" (déjà là on précise pas la ST qui peut être réductrice...) et "Windows 2000 est EAL4" (et on a déjà parler du pack SP3 si courrament pas appliqué, chez MS lui même... cf Kitetoa pour les excuses bidons...).
Ah oui c'est vrai, j'ai oublie que j'etais expert de ces certifications, j'ai simplement repris la news et rien d'autre, toi bien sur faut que tu y vois un complot mondial.
Ca correspond soit à une faute professionnelle relevant de la plus grande incompétence soit une menterie effrontée relevant du FUD classique, discipline qui, sous le terme fallacieux de marketing, recoit de MS plus de budget que le developpement lui même. Or il est impossible que pbpg soit si idiot que ça pour se tromper. Par contre il vous trompe, exactement comme à pour but ce programme d'évluation sur Windows qui n'a aucun sens.
Heureusement que la diffamation n'est pas une faute professionnelle dans ton job, sinon t'aurais ete licencie depuis un moment deja.
[+] [^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
>Bref, tu ne sais pas ce qu'ils ont fait a la PP.
Si, je le sais. ils n'ont rien fait à la PP. Apprends donc qu'ils ne peuvent pas modifier un PP, et que c'est dans l'instanciation de la ST qu'on peut le faire.
>>style la config qu'on ne trouve nul part ailleurs !
>Suffit de chercher 5s sur Google pourtant.
je parlais de ce qui se passe sur le terrain, pas dans la théorie ou dans un labo MS. Google n'a rien à voir avec ça, il ne donne pas comment sont configurés les postes quand même !
>La tu gagnes tout de suite une credibilite enorme.
monsieur "mauvaise foi" qu'on t'appelle, t'es au courant ? franchement, on peut mettre "crédibilité" et "MS" dans la même phrase sans avoir envie de rigoler ? MDR ;)
>j'ai simplement repris la news et rien d'autre
sauf que c'est toi même qui a parlé en premier du PP Access Control dans une news précédente, celle que tu as qualifié de "troll" plus haut. Et sur celle-ci, pouf, t'en parles plus comme par magie !
>Heureusement que la diffamation n'est pas une faute professionnelle dans ton job
tu penses ce que tu veux, mais moi je ne mens ni aux juges (d'ailleurs moi personne ne me fait de procès) ni à mes clients.
bref, t'es bien gentil mais pas très constructif. plutôt à coté de la plaque même. alors sois gentil jusqu'au bout : plutôt que d'affimer des raccourcis trompeurs sur un sujet que tu ne maitrises pas, ne dis rien.
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
je parlais de ce qui se passe sur le terrain, pas dans la théorie ou dans un labo MS. Google n'a rien à voir avec ça, il ne donne pas comment sont configurés les postes quand même !
Ben si justement, ils t'expliquent comment configurer les systemes pour qu'ils soient conforme a ce qui est necessaire pour la certif. Mais bon, fallait lire le lien pour ca.
sauf que c'est toi même qui a parlé en premier du PP Access Control dans une news précédente
Ah oui ? Vas y montre moi le lien !
C'est la 1ere fois que j'entends parler de ca, j'aurais du mal a l'ecrire sans le connaitre :+)
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
Tu fais le malin parce qu'une recherche sur le site, même simple sur "EAL CC", ne donne rien, or pourtant on en a déjà parlé, ne serait ce que sur cette page et sur une autre news que tu évoques dans un de tes posts plus haut mais là bizaremment tu donnes plus d'url. De plus tu postes tellement de commentaires qu'on a accès seulement aux plus récents, cad ceux du jour, comme quoi si tous les debuggers chez MS font comme toi on comprend qu'il reste des tonnes de bug dans les produits MS. Mais ce n'est pas parceque ce n'est pas indexé que ça n'a jamais existé, que tu ais parlé de ce PP je ne l'ai pas inventé mais je comprend que tu ais le sentiment d'avoir fait une bourde d'en parler. Comme l'autre bourde qu'a commis un de tes collegues de MS-France en disant que sur le permier site francophone linuxien MS ne pouvait pas ne pas avoir envoyé un évangéliste. Je crois pas que ce soit Sam. Ou alors ils ne l'ont pas gardé ;)
De toute façon on est à un stade où les admins n'ont pas le temps de patcher voir même refusent d'appliquer le SP3 pour des raisons de stabilité, alors ton pauvre lien sur une config que personne n'a les moyens de mettre en oeuvre, c'est une bonne blague. Et puis j'ai écrit "comment sont" pas "comment doivent"...
Cette petite diversion n'enlève rien au fait que sur l'essence même de mon premier post tu n'ais rien à repliquer.
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
que tu ais parlé de ce PP je ne l'ai pas inventé mais je comprend que tu ais le sentiment d'avoir fait une bourde d'en parler
Ben si tu l'as invente, cf. ton post plus bas.
De toute façon on est à un stade où les admins n'ont pas le temps de patcher voir même refusent d'appliquer le SP3 pour des raisons de stabilité
Bien sur, en fait les millions de download qu'on a eu du SP3 ont ete faits par des schtroumpfs je pense.
Cette petite diversion n'enlève rien au fait que sur l'essence même de mon premier post tu n'ais rien à repliquer.
J'ai replique sur ce qui me faisait tiquer, le reste si je n'y ai pas repondu c'est que j'etais pas forcement contre.
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
EAL4 est une certf reconnue internationalement qui englobe C2, je voulais pas me lancer dans une explication des certifications. donc j'ai juste dit que Win2k etait C2-compliant, alors qu'il est en fait EAL4 + ALC FLR 3
cai assez bien vu pour quelqu'un qui ose dire C'est la 1ere fois que j'entends parler de ca, j'aurais du mal a l'ecrire sans le connaitre :+) bon tu n'y parle pas de PP mais 1/ quant on écrit ce que tu as écris plus haut, on ne peut pas ne pas connaitre le PP 2/ c'est toi qui est chez MS, pas moi, donc c'est pas moi qui l'ai inventé non plus. Et de plus je ne vois pas qui d'autre que toi aurait pu me l'apprendre... Le problème c'est que pas mal de tes posts sont desormais scorés négatifs et là on est mal pour chercher dedans (et je pense que tu sais très bien ce qu'il en est)...
cai sur http://linuxfr.org/2002/12/10/10615.html(...) très interessant au demeurant quant à ta dialectique de troll-fudeur.
[^]Re: /o\ Bon, je suis bien obligé de corriger autant de bétises...
bon tu n'y parle pas de PP mais 1/ quant on écrit ce que tu as écris plus haut, on ne peut pas ne pas connaitre le PP 2/ c'est toi qui est chez MS, pas moi, donc c'est pas moi qui l'ai inventé non plus
1) Eh non, quand on ecrit ce que j'ecrit on ne connait pas forcement le PP
2) Oui c'est moi qui est chez MS, et oh miracle, etre chez MS ne signifie pas etre un specialiste des certifications.
Le problème c'est que pas mal de tes posts sont desormais scorés négatifs et là on est mal pour chercher dedans (et je pense que tu sais très bien ce qu'il en est)...
Bah si tu sais utiliser Google c'est pas sense etre si dur. Le prob etant que si tu mets "pasbill" et "PP" dans ta recherche, tu tombes sur 2 liens sur des news linuxfr qui n'ont rien a voir. Pas trace de moi et PP au sens ou tu l'entends. C'est con hein ?
Bref, comme d'hab tu sors des conneries sur moi sans avoir la moindre idee de quoi tu parles.