2.Sécurité et normalisations

2.1 Norme américaine TCSEC

La norme américaine TCSEC (Trusted Computer Security Evaluation Criteria) a été initiée par le DOD (Department Of Defense) des Etats-Unis. Ce dernier a défini des règles de sécurité regroupant un certain nombre de caractéristiques regroupées dans l'Orange Book en décembre 1985, puis dans le Red Book en juillet 1987. Ces caractéristiques permettent de déterminer le degré de protection d'un système d'exploitation, avec au total 7 niveaux croissant de sécurité Les critères majeures sont:

• la confidentialité des données
• l'intégrité des données
• la disponibilité du système

Classés par ordre croissant, les niveaux suivant sont définis:

Niveau D: "minimal protection"

Systèmes qui n'ont pas pu satisfaire aux exigences de classe de niveau supérieur.

Niveau C1/C2:"discretionary protection"

Protections laissées à la discrétion des utilisateurs. C2 est le niveau maximum pour les organismes commerciaux.

• Contrôle d'accès discrétionnaire: définition et contrôle de l'accès entre les utilisateurs et les objets jusqu'à la granularité d'un seul utilisateur ou groupe d'utilisateur.
• Imputabilité: identification et authentification de l'utilisateur par mot de passe et protection des données d'authentification.
• Assurance d'architecture: mécanismes apportant la preuve que les fonctionnalités de sécurité sont effectivement et correctement mises en oeuvre et que l'intégrité de la base de confiance est garantie.
• Intégrité du système: des éléments doivent être fournis pour permettre de valider périodiquement la base de confiance.
• Tests et sécurité: les mécanismes de sécurité du système doivent être testés et doivent fonctionner de manière conforme à ce qui est indiqué dans la documentation. Des tests doivent être effectués pour montrer qu'il existe des moyens pour contourner la base de confiance.
• Documentations: guide de sécurité utilisateur, guide de sécurité administrateur, documents de tests, spécifications.
• Réutilisation des objets (pour C2): la base de confiance garantit que les objets mémoire sont nettoyés avant leur utilisation. Cela signifie lors de l'allocation dynamique de mémoire, on ne peut pas retrouver les données du processus qui vient de libérer cette mémoire.
• Audit (pour C2):le système doit permettre le traçage des actions effectuées par tous les sujets sur tous les objets. Sa précision doit permettre le traçage de tous les objets accédés par un utilisateur et notamment tracer toutes les opérations d'ouverture, de lecture, d'écriture et d'effacement des fichiers.

Niveau B1/B2/B3: "mandatory protection" et Niveau A: "verified protection"

Ces niveaux couvrent essentiellement les besoins militaires, ou d'autres domaines sensibles comme le transport aérien. L'accès aux informations (objets) est reglementé par les habilitations des sujets selon les 2 axes suivants:

• Un sujet est autorisé à lire un objet si son niveau d'habilitation est supérieur ou égal à la classification de l'objet.
• Un sujet est autorisé à écrire un objet si son niveau d'habilitation est inférieur ou égal à la classification de l'objet.

Des produit peuvent être classés dans une de ces catégories.

Cependant, il est important de ne pas confondre:

• le classement d'un produit (qui ne tient pas compte de son contexte d'utilisation)
• et la certification (qui tient compte du contexte d'utilisation)

Windows NT est classé niveau C2.

2.2 Norme européenne ITSEC

L'ITSEC (Information Technologie Security Evaluation Criteria) définit l'ensemble machine/logiciel comme cible d'évaluation. Les fonctionnalités de sécurité sont désignées sous le terme de cible de sécurité. Elles regroupent 8 rubriques:

• Identification et authentification
• Contrôle d'accès
• Imputabilité
• Audit
• Réutilisation des objets
• Fidélité
• Continuité de service
• Echange de données

Les 5 premières rubriques sont équivalentes à celles de l'Orange Book de TCSEC. Les 3 autres ont été rajoutées pour palier des insuffisances:

• La fidélité regroupe les fonctions de détection et de prévention de perte et d'altération des données.
• La continuité de service réunit les fonctions destinées à garantir la mise à disposition des ressources en temps utile.
• L'échange des données définit les fonctions de sécurisation des canaux de communication (chiffrement des données d'authentification ou de la totalité des données).

Les niveaux d'assurance sont de 2 types:

• Assurance de conformité ou d'exactitude (corectness) indiquant si la fonctionnalité de la cible de sécurité est à la fois correctement spécifiée et réalisée.
• Assurance d'efficacité (effectivness) indiquant la confiance qu'on peut effectivement accorder au système lorsqu'il est en fonctionnement par rapport au niveau d'assurance de conformité auquel prétend la cible d'évaluation.

Cette double approche conduit à:

• 5 classes pour les systèmes généraux (F-C1, F-C2, F-B1, F-B2, F-B3)
• 5 classes pour les systèmes spéciaux (intégrité forte, disponibilité forte, ...)
• 7 catégories de correction de E0 à E7

Windows NT est classé niveau F-C2 / E3

2.3 Norme ISO 15408

La norme ISO 15408 (1er décembre 1999) est issue des Critères Communs (Common Criteria) regroupant:

• TCSEC
• ITSEC
• CTCPEC (Canadian Trusted Computer Product Computer Product Evaluation Criteria)

C'est une approche plus méthodique avec analyse des risques, et plus souple car autorisant à chaque produit de fixer lui-même ses exigences de sécurité. C'est également une approche semblable à ITSEC, prenant en compte la conformité et l'efficacité des fonctions de sécurité.

Elle prend en compte 2 type d'évaluation:

• "Boite blanche": évaluation d'un produit
• "Boite noire": évaluation d'un système (installation), composé de produits déjà évalués ou non.

2.4 Normes de sécurité et Windows NT

Windows NT avec Service Pack 6a est classé fin 1999:

• C2 dans la norme TCSEC
• F-C2 / E3 dans la norme ITSEC

Il est important de rappeler que Windows NT est classé à un niveau de sécurité. Mais c'est seulement l'administrateur du système qui pourra certifier le niveau de sécurité utilisé.