Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Linux bientôt certifié pour la sécurité

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Linux bientôt certifié pour la sécurité

Linux Red Hat Advanced Server sera bientôt évalué selon les critères communs de sécurité EAL-2. Cela ouvrira la voie à la certification EAL-4 du couple Linux et Oracle 9i. Ces évaluations très coûteuses étaient jusqu’à présent hors de portée de la communauté Open Source. Ce sont les sociétés Oracle et Red Hat qui les financeront.


Un Linux évalué selon les critères communs ISO 15408 ? L’idée aurait de quoi faire sourire les vétérans du système libre. Les meilleures de ces évaluations officielles du niveau de sécurité coûtent en effet très cher (celle de Windows 2000 au niveau EAL4 aurait coûté plusieurs millions de dollars) et sont difficilement compatibles avec le processus de développement collaboratif des Logiciels Libres.C’est pourtant ce que veulent obtenir Red Hat, l’un des grands fournisseurs de Linux, et Oracle. L’idée n’est bien sûr pas totalement désintéressée, puisque la seule utilité d’une telle évaluation est de permettre la vente des systèmes aux gouvernements (américain, notamment) et à quelques clients très pointilleux.Jusqu’à présent, la communauté Open Source ne pouvait s’offrir un tel programme d’évaluation sans l’aide d’éditeurs fortunés (et elle s’en moque bien souvent, d’ailleurs).Une ambition commerciale.Mais pour ces éditeurs qui tentent d’imposer Linux, un label officiel permettra de hisser les solutions libres au même niveau que les Unix et Windows dans de grands appels d’offres.La première étape de cet étonnant voyage n’est toutefois guère impressionnante : le niveau EAL-2 que s’apprêtent à demander Oracle et Red Hat n’est rien d’autre qu’une validation des documents commerciaux de l’éditeur. Ca ne coûte rien, ou presque, et ne veut rien dire en terme de sécurité. Le niveau EAL-2 atteste simplement que le produit existe bien et que son éditeur est capable de fournir quelques documents d’information simples sur la structure de son produit.Dans le cadre de Linux, ce niveau EAL-2 ne devrait être qu’une première étape : Oracle envisage en effet de faire évaluer le couple Linux / Oracle 9i Release 2 selon les critères communs au niveau EAL-4.C’est cette évaluation là qui est reconnue par les gouvernements et autres clients institutionnels. Elle coûte beaucoup plus cher, et demande beaucoup plus de temps.En terme de sécurité, elle n’apporte cependant pas grand chose non plus : le produit n’est pas réellement testé, mais l’éditeur fournit simplement une masse de documents techniques rédigés pour l’occasion, afin de montrer comment son produit répond point par point aux exigences de sécurité dans le cadre d’une utilisation particulière, dans des conditions particulières (appelées un profil de protection pour ces évaluations).Une évaluation peu adaptée à Linux.L’obtention de cette qualification demandera cependant beaucoup de travail pour Linux, car l’un des critères évalués concerne le processus de développement du produit, qui doit être rigoureusement contrôlé. Pour un logiciel libre fruit de la collaboration de milliers de programmeurs inconnus, cela semble impossible. A moins qu’Oracle ne s’engage à auditer la totalité du code du système d’exploitation soumis à validation. Mais la distinction EAL-4 ne sera alors valable que pour cette version exacte, à l’exclusion de toute mise à jour, correctif ou modification de la configuration… ce qui ne présente guère d’intérêt.Cette situation ridicule est cependant le lot de toutes les évaluations EAL supérieures. Windows NT n’était ainsi certifié que s’il n’était connecté a aucun réseau, et Windows 2000 vient de l’être à condition de n’être connecté qu’à un réseau totalement maîtrisé par l’exploitant (pas d’Internet, donc…), où chaque utilisateur est absolument digne de confiance et où l’on peut être certain que personne n’envisage de pénétrer le système.Une telle évaluation ne prouve donc rien en terme de sécurité effective, mais dans le cadre de Linux, elle aidera au moins à crédibiliser le système libre face aux produits commerciaux.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.