Système d'exploitation évalué
Un système d'exploitation à sécurité certifiée (security-evaluated operating system) respecte les critères d'une certification Critères communs donnée par une organisation externe de certification. Cette certification est définie par le Common Criteria for Information Technology Security Evaluation (CCITSE).
Impact sur la sécurité du logiciel
La possession de la certification ne signifie pas que le système d'exploitation est réellement sécurisé, mais plutôt la validation des critères fixés par la certification privilégiant l'aspect sécuritaire. La certification est donnée pour une configuration particulière du système sur un matériel particulier; elle n'est plus valide si une des deux conditions n'est pas remplie. Ce scénario est par conséquent limité et ne représente pas tous les environnements courants d'utilisation.
Bien que les critères ne soient pas trop exigeants, peu de systèmes d'exploitation reçoivent cette certification en raison du coût financier qu'elle implique. Seules les sociétés bien implantées peuvent financer les évaluations nécessaires pour cette certification.
Systèmes d'exploitations certifiés
BAE Systems' STOP
BAE Systems' STOP version 6.0.E a reçu la certification de niveau 4 et la version 6.1.E a reçu la certification de niveau 5. Les versions précédentes respectent la norme de sécurité TCSEC. Bien que les versions 6 soient compatibles avec les binaires Linux, elle n'est pas dérivée du kernel de Linux[1].
Novell Suse Enterprise Linux Server
Le système d'exploitation Novell Suse Enterprise Linux Server 9 fonctionnant sur les serveurs de la société IBM a été certifiée au niveau 4+ en [2].
Trusted Solaris
Trusted Solaris est une version du système d'exploitation Solaris principalement utilisée par certains secteurs gouvernementaux. Elle possède notamment un journal détaillé des opérations effectuées, un contrôle d'accès obligatoire et accepte divers périphériques d'authentication. À partir des versions 8, les systèmes d'exploitation sont certifiés sécurisés de niveau 4[3].
Microsoft Windows
Les versions récentes de Microsoft Windows sont certifiées de niveau 4 depuis pour la plupart, certaines en 2005 :
- Windows 2000 Serveur et Professionnel depuis le service pack 3 et le correctif Q326886 sur les plateformes x86[4];
- Windows XP Professionnel et Embarqué avec le service pack 2;
- Windows Server 2003 Standard and Entreprise 32-bit et 64-bit avec le service pack 1 [5]
Mac OS X
Le système Mac OS X et Mac OS X Server 10.3.6 d'Apple possèdent la certification de niveau 3 en [6]. Les versions supérieures n'ont pas encore reçu cette certification[7].
GEMSOS
Gemini Multiprocessing Secure Operating System [8] possède la certification de niveau 7.
Red Hat Enterprise Linux 3
Red Hat Enterprise Linux version 3 fait partie des systèmes d'exploitation Linux. La certification est de niveau 2 depuis [9].
HP OpenVMS and SEVMS
OpenVMS issu de la société Hewlett-Packard a reçu la certification[10].
PolyXene
PolyXene dans sa version 1.1 issu de la société Bertin Technologies a reçu la certification CC-EAL-5 (norme internationale ISO/IEC 15408:2005) le par l'ANSSI.
Références
- Voir www.digitalnet.com
- Voir www.heise.de
- Voir wwws.sun.com/software/security
- Voir CAPP/EAL 4 Augmented ALC_FLR.3 « Copie archivée » (version du 23 juillet 2018 sur l'Internet Archive)
- Voir www.microsoft.com
- Voir niap.nist.gov
- Voir www.apple.com
- Voir www.aesec.com
- Voir « Copie archivée » (version du 23 juillet 2018 sur l'Internet Archive)
- Voir citeseer.ist.psu.edu
Liens externes
- NIST published list of CC Evaluated Products
- Roger R. Schell: GEMSOS presentation
- OpenVMS security presentation
- Portail de la sécurité informatique