Solutions

Windows 2000 décroche une palme de sécurité.

Par Jerome Saiz, le 29 oct 2002 à 17:38:00.

Windows 2000 Server SP3 vient d'obtenir une belle distinction en terme de sécurité : l'Evaluation Assurance Level de niveau 4. Cette certification indépendante indique que le système est développé dans un environnement contrôlé, et que, exploité dans les bonnes conditions, il pourra assurer les fonctions de sécurité qu'il annonce. C'est déjà ça. [Mis à jour le 03/11/2002]

Oui, Windows 2000 Server SP3 peut être un système sûr. C'est ce que montre aujourd'hui sa certification au niveau EAL4+ (Critères Communs) par un organisme indépendant. Ce niveau de sécurité reconnu permet de dire que Windows 2000 Server SP3 a été développé dans un environnement professionnel, impliquant des méthodes rigoureuses mais ne nécessitant pas "de compétences, de méthodes ou de ressources spécialisées", que toutes les fonctions de sécurité qu'il annonce sont bien présentes dans le produit et remplissent correctement leur office, et qu'aucune faille connue n'a été décelée. Tout un programme !
Dans le détail, ce label indique que le fabriquant du produit à su présenter :

Une bonne documentation détaillant ce que l'on peut attendre de son produit.
Une description détaillée montrant comment les fonctionnalités annoncées sont mises en oeuvre au sein du produit.
Un "document sécurité" qui détaille les mesures de sécurité employées afin de parer à une série de risques connus, et qui prouve que ces mesures apportent un niveau de sécurité suffisant pour l'utilisation envisagée du produit.

En outre, cette qualification indique qu'un audit spécialisé a constaté :

La présence effective des fonctionnalités de sécurité annoncées dans la documentation.
La qualité du processus de développement du produit, de son design à sa commercialisation.
La capacité de l'éditeur à prendre en compte les nouvelles failles de sécurité, les corriger et diffuser le correctif à ses utilisateurs.

Bref, il s'agit de l'assurance que Windows 2000 Server SP3 peut faire correctement son travail, lorsqu'il est installé et configuré à l'identique de la version évaluée (entièrement mis à jour, mots de passe utilisateurs changés tous les 42 jours, système de fichiers chiffré, base de registre modifiée, Kerberos, et, surtout, que tous les ordinateurs avec lesquels il entre en contact soient exploités avec le même niveau de sécurité et soient gérés par la même entité !).
Mais pour Microsoft, cette distinction va plus loin que la légitime satisfaction de voir un produit obtenir une distinction reconnue en terme de sécurité. C'est en effet surtout un label bien pratique pour vendre Windows 2000 à l'administration américaine.
Et c'est aussi l'assurance de creuser l'écart avec les logiciels libres, qui eux ne pourront jamais s'offrir une telle qualification. Car même si OpenBSD, par exemple, est l'un des système les plus sûr au monde, aucun logiciel libre ne peut prétendre avoir été développé dans un environnement contrôlé, selon des méthodes tout aussi contrôlables. Ils sont donc exclus d'office de cette course là. Pourtant, OpenBSD n'a connu qu'une seule faille de sécurité exploitable à distance en six ans, tandis qu'on ne les compte plus en ce qui concerne les versions professionnelles Windows.
Notons enfin que, contrairement à ce qu'affirme Microsoft, Windows 2000 n'est pas le premier système d'exploitation commercial à obtenir cette qualification : Solaris 8, l'Unix de Sun, est classé EAL4 depuis deux ans déjà.

Plus d'information

La configuration évaluée (matérielle et logicielle).
Les différents niveaux EAL.
Le détail de différents programmes de certification de sécurité pour les logiciels du commerce, dont les critères communs.

Windows XP SP2 : tout pour la sécurité. (07 jan 2004)
Microsoft (re)découvre la sécurité. (16 jan 2002)
Windows XP SP 2 : la saga sécurité de l'été. (30 août 2004)
Windows 2000 fait le bonheur des pirates. (11 mai 2001)
Windows Live (en partie) gratuit (12 sept 2006)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres