Novell Home

Linux

Certifications de sécurité

21 janvier 2004

SUSE Linux Enterprise Server 8 avec Service Pack 3, hébergé sur les plates-formes de la famille IBM eServer, a obtenu le premier certificat Common Criteria CAPP/EAL3+ au monde pour un système d'exploitation Open Source.
Lire le communiqué de presse complet...

En décembre 2003, soit cinq mois après l'attribution du premier certificat Common Criteria pour système d'exploitation Open Source (CC-EAL2 pour SUSE Linux Enterprise Server 8), le Bureau fédéral allemand pour la sécurité Informatique ou BSI (Bundesamt für Sicherheit in der Informationstechnik), à Bonn, a émis un nouveau certificat. SUSE Linux Enterprise Server 8 avec Service Pack 3 a passé avec succès les tests de critères communs pour l'évaluation de la sécurité des technologies de l'information (Common Criteria for IT Security Evaluation, Version 2.1) et a obtenu la certification EAL3 (Evaluation Assurance Level 3), augmentée d'un LCS (Life Cycle Support ou Support de cycle de vie) et d'un BFR (Basic Flaw Remidiation ou Résolution des pannes basiques) Ces deux derniers ajouts au Profil de Protection (PP) sont signalés par le "+" de EAL3+.

En plus de la plate-forme Intel i386 (IBM xSeries), le certificat EAL3+ a été attribué à toutes les autres plates-formes de la famille IBM eServer : plates-formes iSeries et pSeries (ppc), zSeries (ordinateur central s390) et AMD 64 bits Opteron (x86_64). Le produit a été jugé totalement conforme au profil de protection CAPP (Controlled Access Protection Profile).

Le sous-système d'audit indispensable à la conformité CAPP a été implémenté par les membres de l'équipe de sécurité SUSE Olaf Kirch et Thomas Biege. Le logiciel complémentaire a été appelé LauS (Linux Audit Subsystem) et il est distribué selon les termes de la GNU (General Public License ou Licence Publique Générale). Le sous-système est hautement configurable et capable de suivre (consignation) les événements critiques de sécurité du système, ce qui permet une plus grande transparence des aspects sécuritaires du système sur lequel il fonctionne. Nous allons bientôt publier un lien vers le code source du progiciel LauS.

L'évaluation a été conduite par atsec information security GmbH, l'un des leaders mondiaux parmi les sociétés d'évaluation et de consulting dans le domaine de la sécurité, indépendant des ISV et accrédité en Allemagne par le Bureau fédéral allemand pour la sécurité Informatique ou BSI (Bundesamt für Sicherheit in der Informationstechnik) Sponsorisée par IBM Corporation, cette évaluation marque une nouvelle étape majeure dans le domaine de la sécurité Open Source.

Le certificat Common Criteria tient compte des fonctions de sécurité du système d'exploitation, mais également de certains processus et de certaines procédures à établir par l'éditeur du système d'exploitation. Les professionnels de la sécurité avaient tendance à douter que les systèmes d'exploitation Open Source parviendraient à obtenir une certification Common Criteria, en raison de la difficulté inhérente à l'établissement de processus définis dans la communauté Open Source. L'attribution du certificat EAL2 en juillet 2004 ayant prouvé le contraire, l'attribution du certificat EAL3+ avec conformité CAPP (Controlled Access Protection Profile) totale a démontré que les logiciels Open Source peuvent atteindre des niveaux d'assurance encore plus élevés.

Pour en savoir plus sur la certification Common Criteria et de l'évaluation SLES8 :

Les tests de critères communs pour l'évaluation de la sécurité des technologies de l'information (Common Criteria for IT Security Evaluation) fournissent un ensemble de principes et de concepts pour l'évaluation de la sécurité informatique. L'objectif visé est de standardiser les méthodes d'évaluation de sécurité informatique afin de mesurer et de comparer facilement la sécurisation des produits informatiques, et d'accroître ainsi la confiance des consommateurs dans ce domaine.

Un laboratoire d'évaluation indépendant et accrédité conduit l'évaluation selon les besoins indiqués et définis par le profil de protection, la cible de sécurité et le niveau d'assurance d'évaluation (EAL ou Evaluation Assurance Level). Le laboratoire d'évaluation rédige des rapports techniques d'évaluation (ETR ou Evaluation Technical Reports) et les transmet à l'organisme de certification. Ce bureau de certification (bénéficiant d'une accréditation internationale) vérifie ensuite si le laboratoire d'évaluation a conduit l'évaluation correctement et vérifie également les conclusions de l'ETR. Si toutes les spécifications requises sont remplies, l'organisme de certification peut attribuer le certificat.

SUSE Linux Enterprise Server 8 étant le premier système d'exploitation Open Source à obtenir la certification Common Criteria et Evaluation Assurance Level 3, toute une nouvelle gamme de champs d'applications est maintenant accessible aux logiciels Open Source. En présentant les preuves d'une adéquation au marché professionnel du produit, mais aussi des processus adoptés par son éditeur pour le développement, la maintenance et le support, la certification réduit les risques d'investissement pour les sociétés ayant l'intention de migrer d'un système d'exploitation conventionnel à SUSE Linux Enterprise Server.

Le certificat CC-CAPP/EAL3+ illustre l'engagement de SUSE pour la sécurité et l'évaluation de la sécurité. Cet engagement est l'expression de notre reconnaissance de la sécurité comme un processus, et non pas comme un état. La prochaine étape dans le domaine de l'évaluation de la sécurité sera une évolution du certificat EAL (Evaluation Assurance Level) vers la norme EAL4+ ultérieurement en 2004.

Ressources supplémentaires :

Consultez le Guide de la sécurité (pdf) pour configurer SLES8 selon la configuration certifiée.

Consultez le document Cible de sécurité (pdf), également disponible sur le site Web du BSI.

Consultez les documents Spécifications fonctionnelles (pdf) et Conception de haut niveau (pdf), également disponibles au format PDF.

Code source du sous-système d'audit Linux (LAuS)

Site Web d'IBM sur la sécurité et le cryptage

Le Rapport de certification (pdf) est publié sur le site Web du BSI.

Le BSI a publié un communiqué de presse sur la certification de SUSE Linux Enterprise Server 8. Ce communiqué est disponible uniquement en allemand.

Novell® Making IT Work As One

© 2009 Novell, Inc. All Rights Reserved.