Microsoft : Windows décroche son contrat de confiance EAL4+

Six produits Windows obtiennent le certificat EAL4+ selon le barème des critères communs. Un classement qui confère à Microsoft un degré de confiance quant à la sécurité de ses produits, à l'échelle internationale.

Alors que Microsoft alerte ses utilisateurs d'une faille béante dans son OS Windows, l'éditeur de Redmond annonce que six de ses produits-phare sous la bannière Windows ont reçu le certificat EAL 4+ (Evaluation Assurance Level) des critères communs (Common Criteria). Un classement défini par l'organisme NIAP (National Information Assurance Partnership) (*), censé garantir aux utilisateurs un degré de confiance dans le niveau de sécurité des logiciels (voir encadré). Ont reçu le certificat EAL 4+, les éditions Standard, Enterprise et Datacenter de Windows Server 2003 SP1, la version Certificate Server de Windows Server 2003, et enfin les versions Professionnel et Embedded de Windows XP SP2. A noter qu'Exchange 2003 et Isa Server 2004 ont également obtenu ce degré de certification. Bernard Oughanlian, directeur technique et sécurité chez Microsoft France, indique en outre que SQL Server 2005, lancé début novembre, est actuellement en cours d'évaluation. Un modèle de sécurité Critères Communs en développement L'évaluation, composé d'une impressionnante série de tests, s'est échelonné sur près de deux ans et demi, précise Bernard Oughanlian. Grâce à ce certificat, « l'utilisateur bénéficie d'une évaluation réalisée par un organisme indépendant, de la mise en oeuvre d'un niveau de sécurité de bout en bout, du poste de travail au serveur, et il dispose enfin d'une liste de paramètres pour la mise en conformité ». Plus concrètement, cela devrait se traduire par la délivrance d'un profil type estampillé Critères Communs sur le poste de travail et le serveur, affirme Bernard Oughanlian. Les utilisateurs pourront alors appliquer ce modèle, « au même titre que l'utilisateur dispose dans Windows XP d'un Assistant de Sécurité». Pour autant, ce n'est pas une première pour Microsoft. L'éditeur avait également obtenu le certificat CC EAL 4+ pour Windows 2000, Windows 2000 Server et Advanced Server. Ironie du sort, Microsoft a hier alerté les utilisateurs de Windows qu'une faille de sécurité jugée critique d'Internet Explorer autorisait la prise de contrôle de leur ordinateur. L'éditeur de Redmond a riposté par une rustine, à l'occasion de son mensuel "Patch Day". (*) un projet développé par le gouvernement américain et soutenu par le National Institute of Standards and Technology (NIST) et la National Security Agency (NSA)

Le long processus du certificat CC EAL

La certification selon les critères communs s'appuie sur une série de standards approuvés par l'ISO, reconnus par quelque 21 pays. L'objectif est de fournir aux utilisateurs un indicateur de confiance quant à la sécurité du produit. Et ce au niveau international. Les produits certifiés sont alors évalués en fonction de cibles prédéterminées, ou de scenarii d'utilisation. Pour ce faire, "Microsoft a dû livrer le code source de ses applications, qui ensuite a été épluché pour l'évaluation", indique Bernard Oughanlian, directeur technique et sécurité chez Microsoft France. Outre les fonctionnalités de sécurité, le processus d'évaluation teste également les méthodes de conception et de développement utilisées. Selon le barème des critères communs, les niveaux de sécurité sont classés sur une échelle de valeur, de EAL1 à EAL7.

Sur le même thème

Partenaires

Microsoft : Windows décroche son contrat de confiance EAL4+

Livres blancs

Commentaire

Suivre toute l'actualité

Newsletter