Système d'exploitation évalué

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Un système d'exploitation à sécurité certifiée (security-evaluated operating system) respecte les critères d'une certification Critères communs donnée par une organisation externe de certification. Cette certification est définie par le Common Criteria for Information Technology Security Evaluation (CCITSE).

Impact sur la sécurité du logiciel[modifier | modifier le code]

La possession de la certification ne signifie pas que le système d'exploitation est réellement sécurisé, mais plutôt la validation des critères fixés par la certification privilégiant l'aspect sécuritaire. La certification est donnée pour une configuration particulière du système sur un matériel particulier; elle n'est plus valide si une des deux conditions n'est pas remplie. Ce scénario est par conséquent limité et ne représente pas tous les environnements courants d'utilisation.

Bien que les critères ne soient pas trop exigeants, peu de systèmes d'exploitation reçoivent cette certification en raison du coût financier qu'elle implique. Seules les sociétés bien implantées peuvent financer les évaluations nécessaires pour cette certification. Par conséquent, il existe différents systèmes d'exploitation qui dépassent les exigences de la certification en étant encore plus sécurisées, bien que ne possédant pas cette certification.

Systèmes d'exploitations certifiés[modifier | modifier le code]

BAE Systems' STOP[modifier | modifier le code]

BAE Systems' STOP version 6.0.E a reçu la certification de niveau 4 et la version 6.1.E a reçu la certification de niveau 5. Les versions précédentes respectent la norme de sécurité TCSEC. Bien que les versions 6 soient compatibles avec les binaires Linux, elle n'est pas dérivée du kernel de Linux[1].

Novell Suse Enterprise Linux Server[modifier | modifier le code]

Le système d'exploitation Novell Suse Enterprise Linux Server 9 fonctionnant sur les serveurs de la société IBM a été certifiée au niveau 4+ en février 2005[2].

Trusted Solaris[modifier | modifier le code]

Trusted Solaris est une version du système d'exploitation Solaris principalement utilisée par certains secteurs gouvernementaux. Elle possède notamment un journal détaillé des opérations effectuées, un contrôle d'accès obligatoire et accepte divers périphériques d'authentication. À partir des versions 8, les systèmes d'exploitation sont certifiés sécurisés de niveau 4[3].

Microsoft Windows[modifier | modifier le code]

Les versions récentes de Microsoft Windows sont certifiées de niveau 4 depuis octobre 2002 pour la plupart, certaines en 2005 :

  • Windows 2000 Serveur et Professionnel depuis le service pack 3 et le correctif Q326886 sur les plateformes x86[4];
  • Windows XP Professionnel et Embarqué avec le service pack 2;
  • Windows Server 2003 Standard and Entreprise 32-bit et 64-bit avec le service pack 1 [5]

Mac OS X[modifier | modifier le code]

Le système Mac OS X et Mac OS X Server 10.3.6 d'Apple possèdent la certification de niveau 3 en janvier 2005[6]. Les verions supérieures n'ont pas encore reçu cette certification[7].

GEMSOS[modifier | modifier le code]

Gemini Multiprocessing Secure Operating System [8] possède la certification de niveau 7.

Red Hat Enterprise Linux 3[modifier | modifier le code]

Red Hat Enterprise Linux version 3 fait partie des systèmes d'exploitation Linux. La certification est de niveau 2 depuis février 2004[9].

HP OpenVMS and SEVMS[modifier | modifier le code]

OpenVMS issu de la société Hewlett-Packard a reçu la certification[10].

PolyXene[modifier | modifier le code]

PolyXene dans sa version 1.1 issu de la société Bertin Technologies a reçu la certification CC-EAL-5 (norme internationale ISO/IEC 15408:2005) le 7 juillet 2009 par l'ANSSI.

Références[modifier | modifier le code]

  1. Voir www.digitalnet.com
  2. Voir www.heise.de
  3. Voir wwws.sun.com/software/security
  4. Voir CAPP/EAL 4 Augmented ALC_FLR.3
  5. Voir www.microsoft.com
  6. Voir niap.nist.gov
  7. Voir www.apple.com
  8. Voir www.aesec.com
  9. Voir [1]
  10. Voir citeseer.ist.psu.edu

Liens externes[modifier | modifier le code]