Windows 2000 Server SP3 vient d’obtenir une belle distinction en terme de sécurité : l’Evaluation Assurance Level de niveau 4. Cette certification indépendante indique que le système est développé dans un environnement contrôlé, et que, exploité dans les bonnes conditions, il pourra assurer les fonctions de sécurité qu’il annonce. C’est déjà ça.
Oui, Windows 2000 Server SP3 peut être un système sûr. C’est ce que montre aujourd’hui sa certification au niveau EAL4+ (Critères Communs) par un organisme indépendant . Ce niveau de sécurité reconnu permet de dire que Windows 2000 Server SP3 a été développé dans un environnement professionnel, impliquant des méthodes rigoureuses mais ne nécessitant pas « de compétences, de méthodes ou de ressources spécialisées », que toutes les fonctions de sécurité qu’il annonce sont bien présentes dans le produit et remplissent correctement leur office, et qu’aucune faille connue n’a été décelée. Tout un programme !Dans le détail, ce label indique que le fabriquant du produit à su présenter :Une bonne documentation détaillant ce que l’on peut attendre de son produit.Une description détaillée montrant comment les fonctionnalités annoncées sont mises en oeuvre au sein du produit.Un « document sécurité » qui détaille les mesures de sécurité employées afin de parer à une série de risques connus, et qui prouve que ces mesures apportent un niveau de sécurité suffisant pour l’utilisation envisagée du produit.En outre, cette qualification indique qu’un audit spécialisé a constaté :La présence effective des fonctionnalités de sécurité annoncées dans la documentation.La qualité du processus de développement du produit, de son design à sa commercialisation. La capacité de l’éditeur à prendre en compte les nouvelles failles de sécurité, les corriger et diffuser le correctif à ses utilisateurs.Bref, il s’agit de l’assurance que Windows 2000 Server SP3 peut faire correctement son travail, lorsqu’il est installé et configuré à l’identique de la version évaluée (entièrement mis à jour, mots de passe utilisateurs changés tous les 42 jours, système de fichiers chiffré, base de registre modifiée, Kerberos, et, surtout, que tous les ordinateurs avec lesquels il entre en contact soient exploités avec le même niveau de sécurité et soient gérés par la même entité !).Mais pour Microsoft, cette distinction va plus loin que la légitime satisfaction de voir un produit obtenir une distinction reconnue en terme de sécurité. C’est en effet surtout un label bien pratique pour vendre Windows 2000 à l’administration américaine.Et c’est aussi l’assurance de creuser l’écart avec les logiciels libres, qui eux ne pourront jamais s’offrir une telle qualification. Car même si OpenBSD, par exemple, est l’un des système les plus sûr au monde, aucun logiciel libre ne peut prétendre avoir été développé dans un environnement contrôlé, selon des méthodes tout aussi contrôlables. Ils sont donc exclus d’office de cette course là. Pourtant, OpenBSD n’a connu qu’une seule faille de sécurité exploitable à distance en six ans, tandis qu’on ne les compte plus en ce qui concerne les versions professionnelles Windows.Notons enfin que, contrairement à ce qu’affirme Microsoft, Windows 2000 n’est pas le premier système d’exploitation commercial à obtenir cette qualification : Solaris 8, l’Unix de Sun, est classé EAL4 depuis deux ans déjà.