Système d'exploitation évalué

Un système d'exploitation à sécurité certifiée (security-evaluated operating system) respecte les critères d'une certification Critères communs donnée par une organisation externe de certification. Cette certification est définie par le Common Criteria for Information Technology Security Evaluation (CCITSE).

Impact sur la sécurité du logiciel

La possession de la certification ne signifie pas que le système d'exploitation est réellement sécurisé, mais plutôt la validation des critères fixés par la certification privilégiant l'aspect sécuritaire. La certification est donnée pour une configuration particulière du système sur un matériel particulier; elle n'est plus valide si une des deux conditions n'est pas remplie. Ce scénario est par conséquent limité et ne représente pas tous les environnements courants d'utilisation.

Bien que les critères ne soient pas trop exigeants, peu de systèmes d'exploitation reçoivent cette certification en raison du coût financier qu'elle implique. Seules les sociétés bien implantées peuvent acheter cette certification. Par conséquent, il existe différents systèmes d'exploitations qui dépassent les exigences de la certification en étant encore plus sécurisées, bien que ne possédant pas cette certification.

Systèmes d'exploitations certifiés

BAE Systems' STOP

BAE Systems' STOP version 6.0.E a reçu la certification de niveau 4 et la version 6.1.E a reçu la certification de niveau 5. Les versions précédentes respectent la norme de sécurité TCSEC. Bien que les versions 6 soient compatibles avec les binaires Linux, elle n'est pas dérivée du kernel de Linux^[1].

Novell Suse Enterprise Linux Server

Le système d'exploitation Novell Suse Enterprise Linux Server 9 fonctionnant sur les serveurs de la société IBM a été certifiée au niveau 4+ en février 2005^[2].

Trusted Solaris

Trusted Solaris est une version du système d'exploitation Solaris principalement utilisée par certains secteurs gouvernementaux. Elle possède notamment un journal détaillé des opérations effectuées, un contrôle d'accès obligatoire et accepte divers périphériques d'authentication. À partir des versions 8, les systèmes d'exploitation sont certifiés sécurisés de niveau 4^[3].

Microsoft Windows

Les versions récentes de Microsoft Windows sont certifiées de niveau 4 depuis octobre 2002 pour la plupart, certaines en 2005 :

• Windows 2000 Serveur et Professionnel depuis le service pack 3 et le correctif Q326886 sur les plateformes x86^[4];
• Windows XP Professionnel et Embarqué avec le service pack 2;
• Windows Server 2003 Standard and Entreprise 32-bit et 64-bit avec le service pack 1 ^[5]

Mac OS X

Le système Mac OS X et Mac OS X Server 10.3.6 d'Apple possèdent la certification de niveau 3 en janvier 2005^[6]. Les verions supérieures n'ont pas encore reçu cette certification^[7].

GEMSOS

Gemini Multiprocessing Secure Operating System ^[8] possède la certification de niveau 7.

Red Hat Enterprise Linux 3

Red Hat Enterprise Linux version 3 fait partie des systèmes d'exploitation Linux. La certification est de niveau 2 depuis février 2004^[9].

HP OpenVMS and SEVMS

OpenVMS issu de la société Hewlett-Packard a reçu la certification^[10].

PolyXene

PolyXene dans sa version 1.1 issu de la société Bertin Technologies a reçu la certification CC-EAL-5 (norme internationale ISO/IEC 15408:2005) le 7 juillet 2009 par l'ANSSI.

Références

1. ↑ Voir www.digitalnet.com
2. ↑ Voir www.heise.de
3. ↑ Voir wwws.sun.com/software/security
4. ↑ Voir CAPP/EAL 4 Augmented ALC_FLR.3
5. ↑ Voir www.microsoft.com
6. ↑ Voir niap.nist.gov
7. ↑ Voir www.apple.com
8. ↑ Voir www.aesec.com
9. ↑ Voir [1]
10. ↑ Voir citeseer.ist.psu.edu

Liens externes

• NIST published list of CC Evaluated Products
• Roger R. Schell: GEMSOS presentation
• OpenVMS security presentation