Évaluation EAL 4+ du produit Fortinet FortiGate™ Unified Threat ...

Rapport de certification
Évaluation EAL 4+ du produit Fortinet FortiGate
Unified Threat Management Solutions and FortiOS 4.0
CC Compliant Firmware
Préparé par le
Centre de la sécurité des télécommunications Canada
Organisme de certification
Schéma canadien d’évaluation et de certification selon les Critères communs
© Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2012
Numéro de document 383-4-133-CR
Version 1.0
Date 23 janvier 2012
Pagination i à iii, 1 à 15

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
AVERTISSEMENT
Le produit de technologie de l’information (TI) décrit dans le présent rapport et dans le
certificat afférent a été évalué selon la Méthodologie commune pour la sécurité des
technologies de l’information, version 3.1, révision 3, afin d’en déterminer la conformité aux
Critères communs pour l’évaluation de la sécurité des technologies de l’information,
version 3.1, révision 3, par un centre d’évaluation approuvé, établi dans le cadre du Schéma
canadien d’évaluation et de certification selon les Critères communs (SCCC). Ce rapport et
le certificat afférent valent uniquement pour la version indiquée du produit, dans la
configuration qui a été évaluée. L’évaluation a été effectuée conformément aux dispositions
du SCCC, et les conclusions formulées dans le rapport technique d’évaluation correspondent
aux éléments présentés en preuve. Le présent rapport et le certificat afférent ne constituent
pas une homologation du produit de TI par le Centre de la sécurité des télécommunications
Canada (CSTC) ou par toute autre organisation qui reconnaît ou entérine ce rapport et le
certificat afférent, et ne signifie pas, ni implicitement ni explicitement, que le produit de TI
est garanti par le CSTC ou par toute autre organisation qui entérine ce rapport et le certificat
afférent.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page i de iii -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
AVANT-PROPOS
Le Schéma canadien d’évaluation et de certification selon les Critères communs (SCCC)
offre un service d’évaluation par une tierce partie en vue de déterminer la fiabilité des
produits de sécurité des TI. Les évaluations sont réalisées par un centre d’évaluation selon les
Critères communs (CECC) sous la direction de l’organisme de certification du SCCC, ce
dernier étant géré par le Centre de la sécurité des télécommunications Canada.
Un CECC est un laboratoire commercial qui a été approuvé par l’organisme de certification
du SCCC en vue d’effectuer des évaluations selon les Critères communs. Une des exigences
principales, à cette fin, est l’obtention de l’accréditation selon les prescriptions du
Guide ISO/IEC 17025:2005, Prescriptions générales concernant la compétence des
laboratoires d’étalonnage et d’essais. L’accréditation est obtenue dans le cadre du
Programme d’accréditation des laboratoires Canada (PALCAN) régi par le Conseil canadien
des normes.
Le CECC qui a effectué la présente évaluation est EWA-Canada, situé à Ottawa, au Canada.
En décernant un certificat de Critères communs, l’organisme de certification affirme que le
produit est conforme aux exigences de sécurité précisées dans la cible de sécurité (ST pour
security target) connexe. Une cible de sécurité est un document qui comporte des
spécifications requises, définit les activités d’évaluation et en établit la portée. L’utilisateur
d’un produit de TI certifié devrait examiner la cible de sécurité, en plus du rapport de
certification, pour comprendre les hypothèses formulées dans le cadre de l’évaluation,
l’environnement d’exploitation prévu pour le produit, les exigences de sécurité et le niveau
de fiabilité (qui correspond au niveau d’assurance de l’évaluation) que le produit doit
respecter pour satisfaire aux exigences de sécurité.
Le présent rapport de certification accompagne le certificat d'évaluation du produit daté du
23 janvier 2012 et la cible de sécurité énoncée à la section 4 du présent rapport.
Le rapport de certification, le certificat d’évaluation du produit et la cible de sécurité sont
disponibles depuis la liste des produits certifiés (LPC) selon les Critères communs ou sur le
portail des Critères communs (site Web officiel du programme des Critères communs).
Le présent rapport de certification porte sur les marques déposées suivantes :
• FortiGate et FortiOS sont des marques de commerce de Fortinet, Incorporated.
Seules les reproductions intégrales du présent rapport sont autorisées.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page ii de iii -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
TABLE DES MATIÈRES
AVERTISSEMENT....................................................................................................................... i
AVANT-PROPOS......................................................................................................................... ii
Résumé........................................................................................................................................... 1
1 Définition de la cible d'évaluation ....................................................................................... 3
2 Description de la TOE .......................................................................................................... 3
3 Fonctionnalités de sécurité évaluées.................................................................................... 3
4 Cible de sécurité .................................................................................................................... 5
5 Conformité aux Critères communs ..................................................................................... 5
6 Politiques de sécurité ............................................................................................................ 6
7 Hypothèses et clarification de la portée .............................................................................. 6
7.1 HYPOTHÈSES LIÉES À L'UTILISATION SÛRE................................................................. 6
7.2 HYPOTHÈSES LIÉES À L'ENVIRONNEMENT .................................................................. 6
7.3 CLARIFICATION DE LA PORTÉE................................................................................... 7
8 Configuration évaluée...........................................................................................................8
9 Documentation ...................................................................................................................... 9
10 Activités d'analyse aux fins d’évaluation.......................................................................... 10
11 Essais des produits de sécurité des TI............................................................................... 12
11.1 ÉVALUATION DES TESTS PAR LES DÉVELOPPEURS .................................................... 12
11.2 TESTS FONCTIONNELS INDÉPENDANTS ..................................................................... 12
11.3 TESTS DE PÉNÉTRATION INDÉPENDANTS .................................................................. 13
11.4 DÉROULEMENT DES TESTS ....................................................................................... 13
11.5 RÉSULTATS DES TESTS ............................................................................................. 14
12 Résultats de l'évaluation..................................................................................................... 14
13 Commentaires, observations et recommandations de l'évaluateur ............................... 14
14 Acronymes, abréviations et sigles...................................................................................... 14
15 Références............................................................................................................................ 15
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page iii de iii -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Résumé
Le produit Fortinet FortiGate Unified Threat Management Solutions and FortiOS 4.0
CC Compliant Firmware (désigné ci-après sous le nom de FortiGate 4.0), de Fortinet,
Incorporated, est la cible d’évaluation (TOE, pour target of evaluation) aux fins de la
présente évaluation EAL 4 augmentée.
FortiGate 4.0 est une gamme de coupe-feu autonomes de type « appliance » que l'on
positionne généralement à la passerelle liant un réseau à protéger et un réseau externe, par
exemple l'Internet, dans le but de contrôler, conformément aux politiques définies par un
administrateur autorisé, le flux d'information circulant entre les deux. FortiGate 4.0 permet la
mise en application de fonctions de coupe-feu, de filtrage Web, de RPV, d’antivirus ainsi que
de fonctionnalités de détection et de prévention des intrusions informatiques. FortiGate 4.0
offre également des outils d’administration à distance sécurisée par une fonction de
cryptographie reconnue par la FIPS 140-2.
C’est EWA-Canada qui, à titre de CECC, a réalisé cette évaluation (conclue le
9 décembre 2011) conformément aux règles prescrites par le Schéma canadien d’évaluation
et de certification selon les Critères communs.
La portée de cette évaluation est définie par la cible de sécurité, dans laquelle on formule les
hypothèses soulevées pendant l'évaluation, décrit l'environnement prévu pour l'utilisation de
FortiGate 4.0, définit les exigences de sécurité qui s’y rapportent et indique le niveau de
fiabilité requis pour que le produit satisfasse aux exigences de sécurité (correspondant au
niveau d’assurance de l’évaluation). On recommande aux utilisateurs du produit de s’assurer
que leur environnement d’exploitation est conforme à celui qui est défini dans la cible de
sécurité, et de tenir compte des observations et des recommandations énoncées dans le
présent rapport de certification.
Les résultats documentés dans le rapport technique d’évaluation 1 indiquent que le produit
répond aux exigences d'assurance EAL 4 augmentée pour les fonctionnalités de sécurité qui
ont été évaluées. Les tests ont été réalisés selon la Méthodologie d’évaluation commune pour
la sécurité des technologies de l’information, version 3.1, révision 3, afin d’établir la
conformité aux Critères communs pour l’évaluation de la sécurité des technologies de
l’information, version 3.1, révision 3. L’augmentation prise en compte lors de l’évaluation
est la suivante : ALC_FLR.3 – Correction d’anomalies systématique.
FortiGate 4.0 est conforme au U.S. Government Protection Profile Intrusion Detection
System Sensor For Basic Robustness Environments, version 1.3, 25 juillet 2007, au U.S.
Government Protection Profile for Application level Firewall In Basic Robustness
1 Le rapport technique d'évaluation est un document du SCCC contenant de l'information exclusive au
développeur ou à l'évaluateur et ne peut donc pas être rendu public.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 1 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Environments, version 1.1, 25 juillet 2007, ainsi qu'au U.S. Government Protection Profile
for Traffic Filter Firewall In Basic Robustness Environments, version 1.1, 25 juillet 2007.
À titre d'organisme de certification du SCCC, le Centre de la sécurité des
télécommunications Canada atteste que le produit FortiGate 4.0 satisfait à toutes les
conditions de l'Arrangement relatif à la reconnaissance des certificats liés aux Critères
communs et que le produit figurera dans la liste des produits certifiés (LPC) du SCCC ainsi
que dans le portail des Critères communs (site Web officiel du projet Critères communs).
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 2 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
1 Définition de la cible d'évaluation
Le produit Fortinet FortiGate Unified Threat Management Solutions and FortiOS 4.0
CC Compliant Firmware, de Fortinet, Incorporated (désigné ci-après sous le nom de
FortiGate 4.0), est la cible d'évaluation (TOE, pour Target of evaluation) du présent niveau
d’évaluation EAL 4 augmenté (EAL, pour Evaluation assurance level).
2 Description de la TOE
FortiGate 4.0 est une gamme de coupe-feu autonomes de type « appliance » que l'on
positionne généralement à la passerelle liant un réseau à protéger et un réseau externe, par
exemple l'Internet, dans le but de contrôler, conformément aux politiques définies par un
administrateur autorisé, le flux d'information circulant entre les deux. FortiGate 4.0 permet la
mise en application de fonctions de coupe-feu, de filtrage Web, de RPV, d’antivirus ainsi que
de fonctionnalités de détection et de prévention des intrusions informatiques. FortiGate 4.0
offre également des outils d’administration à distance sécurisée par une fonction de
cryptographie reconnue par la FIPS 140-2.
3 Fonctionnalités de sécurité évaluées
La liste complète des fonctionnalités de sécurité évaluées pour FortiGate 4.0 figure aux
sections 5 et 6 de la cible de sécurité.
Les modules cryptographiques ci-dessous ont été évalués suivant la norme FIPS 140-2 :
Module cryptographique N o de certificat
FortiGate-50B
À venir 2
FortiGate-60C
FortiGate-80C
FortiGate-110C
FortiGate-200B
FortiGate-310B
À venir
À venir
À venir
À venir
À venir
2 Le module cryptographique est en cours de validation suivant la norme FIPS 140-2 dans le cadre du
Programme de validation des modules cryptographiques (PVMC). Les renseignements concernant l’état de la
validation du module figurent sur le site Web du NIST.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 3 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Module cryptographique
FortiGate-311B
FortiGate-620B
FortiGate-1000A
FortiGate-1240B
FortiGate-3016B
FortiGate-3040B
FortiGate-3140B
FortiGate-3950B
FortiGate-3951B
FortiGate-5001SX
FortiGate-5001A-DW
FortiGate-5001A-SW
FortiGate-5001B
FortiWiFi-50B
FortiWiFi-60C
FortiWifi-80CM
N o de certificat
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
À venir
Les algorithmes cryptographiques suivants sont approuvés par le gouvernement du Canada et
ont été évalués en prévision d'une implantation normalisée dans le produit FortiGate 4.0.
Algorithme cryptographique
Norme
Advanced Encryption Standard (AES) FIPS 140-2
Administration à distance
Advanced Encryption Standard (AES)
Cryptage et décryptage des
communications RPV
(Niveau 1)
FIPS PUB 197 (AES) et le
National Institute of Standards
and Technology (NIST) SP 800-
67 (TDEA)
Algorithme de signature numérique RSA ANSI X9.31-1998
(rDSA)
Secure Hash Algorithme (SHA-1) et
HMAC
ANSI X9.31 Annexe A ANSI X9.31
FIPS 140-2 PUB 180-2 et FIPS
140-2 PUB 198
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 4 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Génération de nombres aléatoires
4 Cible de sécurité
La ST faisant l’objet du présent rapport de certification (RC) est définie comme suit :
Titre : Cible de sécurité pour le produit Fortinet FortiGate 50B, 60C, 80C, 110C,
200B, 310B, 311B, 620B, 1000A, 1240B, 3016B, 3040B, 3140B, 3950B,
3951B, 5001SX, 5001A-DW, 5001A-SW, 5001B and FortiWiFi-50B, 60C
and 80CM Unified Threat Management Solutions and FortiOS 4.0 CC
Compliant Firmware
Version : 2.1
Date : 6 décembre 2011
5 Conformité aux Critères communs
L’évaluation a été réalisée selon la Méthodologie d’évaluation commune pour la sécurité des
technologies de l’information, version 3.1, révision 3, afin d’établir la conformité aux
Critères communs pour l’évaluation de la sécurité des technologies de l’information,
version 3.1, révision 3.
Au sujet de FortiGate 4.0 :
a. conforme à la partie 2 étendue des Critères communs, avec des exigences fonctionnelles
basées sur les composants fonctionnels de la partie 2, à l'exception des exigences
suivantes, qui sont explicitement désignées dans la ST.
• FAV_ACT_EXT.1 – Anti Virus Actions
• IDS_COL_EXT.1 – Sensor data collection
• IDS_RDR_EXT.1 – Restricted data review
• IDS_STG_EXT.1 – Guarantee of sensor data availability
• IDS_STG_EXT.2 – Prevention of sensor data loss
b. conforme à la partie 3 des Critères communs, avec des exigences d'assurance de sécurité
basées exclusivement sur les composants d'assurance de la partie 3;
c. conforme au niveau EAL 4 augmenté des Critères communs, contenant toutes les
exigences d'assurance de sécurité du niveau EAL 4, ainsi que l'augmentation suivante :
ALC_FLR.3 – Correction d'anomalies systématique;
d. FortiGate 4.0 est conforme au U.S. Government Protection Profile Intrusion Detection
System Sensor For Basic Robustness Environments, version 1.3, 25 juillet 2007, au U.S.
Government Protection Profile for Application level Firewall In Basic Robustness
Environments, version 1.1, 25 juillet 2007, ainsi qu'au U.S. Government Protection
Profile for Traffic Filter Firewall In Basic Robustness Environments, version 1.1,
25 juillet 2007.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 5 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
6 Politiques de sécurité
Le produit FortiGate 4.0 applique des politiques d’utilisation des coupe-feu, qui définissent
quelles parts du trafic sont autorisées à circuler. Le FortiGate 4.0 applique également des
politiques ayant trait aux vérifications de sécurité, au cryptage, à l’identification et à
l’authentification, à la gestion de la sécurité, aux canaux et chemins de confiance, à
l’autoprotection de la TOE, aux IDS 3 , et aux antivirus. Pour plus de détails sur ces politiques,
prière de consulter les sections 5 et 6 de la cible de sécurité.
7 Hypothèses et clarification de la portée
En ce qui a trait à l’installation et à l’administration des fonctions, il est recommandé que les
utilisateurs du produit FortiGate 4.0 tiennent compte des hypothèses formulées relativement
à l’utilisation et à la gestion de l’environnement, ce qui permettrait d’utiliser la TOE de
manière adéquate et sûre.
7.1 Hypothèses liées à l'utilisation sûre
Ci-après figurent les hypothèses de la ST portant sur une utilisation sûre.
a. Depuis l'intérieur des limites physiques sécurisées protégeant la TOE, les utilisateurs
peuvent tenter d'accéder à la TOE au moyen d'une connexion directe (p. ex., un port
console), si cette connexion fait partie de la TOE.
b. Une ou plusieurs personnes compétentes seront responsables de la gestion de la TOE et
de la sécurité de l’information qui s’y trouve.
c. Les administrateurs sont dignes de confiance et suivent toutes les directives
d’administration; toutefois, ils peuvent commettre des erreurs.
d. Tout utilisateur qui n'est pas un administrateur autorisé ne peut pas accéder à la TOE à
distance à partir des réseaux internes ou externes.
e. Seuls des utilisateurs autorisés ont accès à la TOE.
f. Seuls les administrateurs autorisés peuvent accéder à la TOE à distance à partir des
réseaux internes ou externes.
7.2 Hypothèses liées à l'environnement
Ci-après figurent les hypothèses de la ST portant sur l’environnement.
3 Système de détection des intrusions
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 6 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
a. La TOE n'a aucune capacité de traitement général (p. ex., la capacité d'exécuter du code
arbitraire ou des applications) ni de dépôt de stockage.
b. Les ressources de traitement de la TOE sont situées dans des installations à accès
contrôlé, ce qui prévient les modifications ou les accès physiques non autorisés.
c. La menace liée aux attaques malveillantes visant à découvrir des vulnérabilités
exploitables est jugée faible.
d. La TOE est physiquement protégée.
e. La TOE n’héberge pas de données publiques.
f. L'information ne peut pas circuler entre le réseau interne et le réseau externe à moins de
passer par la TOE.
g. Tout utilisateur qui n'est pas un administrateur autorisé ne peut pas accéder à la TOE à
distance à partir des réseaux internes ou externes.
h. Seuls les administrateurs autorisés peuvent accéder à la TOE à distance à partir des
réseaux internes ou externes.
i. Le matériel et le logiciel de la TOE essentiels à l’application de la politique de sécurité
sont protégés contre toute modification non autorisée.
7.3 Clarification de la portée
Le produit FortiGate 4.0 assure la protection contre toute tentative accidentelle ou épisodique
de violation du système de sécurité par des attaquants possédant un potentiel d'attaque de
base supérieur. FortiGate 4.0 n'est pas conçu pour assurer une protection contre les tentatives
délibérées d'attaque sophistiquée perpétrées par des attaquants hostiles disposant d'importants
moyens financiers.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 7 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
8 Configuration évaluée
La configuration évaluée du produit FortiGate 4.0 comprend les éléments figurant cidessous.
Produit Version micrologicielle Version matérielle
FortiGate-50B Version 8892,111128 C5GB38
FortiGate-60C Version 8892,111128 C4DM93
FortiGate-80C Version 8892,111128 C4BC61
FortiGate-110C Version 8892,111128 C4HA15
FortiGate-200B Version 8892,111128 C4CD24
FortiGate-310B Version 8892,111128 C4ZF35
FortiGate-311B Version 8892,111128 C4CI39
FortiGate-620B Version 8892,111128 C4AK26
FortiGate-1000A Version 8892,111128 C4WA49
FortiGate-1240B Version 8892,111128 C4CN43
FortiGate-3016B Version 8892,111128 C4XA14
FortiGate-3040B Version 8892,111128 C4CX55 (AC)
C4JH55 (DC)
FortiGate-3140B Version 8892,111128 C4CX55
FortiGate-3950B Version 8892,111128 C4DE23
FortiGate-3951B Version 8892,111128 C4EL37
FortiGate-5001SX Version 8892,111128 P4CF76
FortiGate-5001A-DW Version 8892,111128 P4CJ36
FortiGate-5001A-SW Version 8892,111128 P4CJ36
FortiGate-5001B Version 8892,111128 P4EV74
FortiWiFi-50B Version 8892,111128 C5WF27
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 8 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Produit Version micrologicielle Version matérielle
FortiWiFi-60C Version 8892,111128 C4DM95
FortiWifi-80CM Version 8892,111128 C4BD62
Les produits figurant à la liste sont désignés globalement sous l'appellation de
FortiGate Series et de FortiGate Family of Unified Threat Management (UTM) Solutions.
Le chapitre 20 Certifications and Compliances du document intitulé FortiOS Handbook v3
for FortiOS 4.0 MR3, décrit le processus d’installation de FortiGate 4.0 conformément à la
configuration évaluée suivant la norme FIPS-CC.
9 Documentation
Les utilisateurs disposent de la documentation suivante en ce qui a trait à Fortinet.
FortiGate-50B QuickStart Guide 01-30003-0361-20070419
FortiGate-60C QuickStart Guide 01-420-002122-20110128
FortiGate-80C QuickStart Guide 01-412-89805-20090615
FortiGate-110C QuickStart Guide 01-412-0468-20101119
FortiGate-200B QuickStart Guide 01-420-110056-20090910
FortiGate-310B QuickStart Guide 01-412-112401-20091020
FortiGate-311B QuickStart Guide 01-30007-97512-20090525
FortiGate-620B QuickStart Guide 01-420-112406-20110126
FortiGate-1000A/FA2 QuickStart Guide 01-30007-114859-20091203
FortiGate-1240B QuickStart Guide 01-30007-106971-20091117
FortiGate-3016B QuickStart Guide 01-30006-0402-20080328
FortiGate-3040B QuickStart Guide 01-413-125361-20101210
FortiGate-3140B QuickStart Guide 01-420-129377-20101210
FortiGate-3950B QuickStart Guide 01-413-124384-20100404
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 9 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
FortiGate-3951B QuickStart Guide 01-413-119330-20100210
FortiGate-5001SX Security System Guide 01-30000-0380-20070201
FortiGate-5001A Security System Guide 01-30000-83456-20081023
(s’applique également aux produits 5001A-DW et 5001A-SW)
FortiGate-5001B Security System Guide 01-400-134818-20110118
FortiGate-WIFI-50B QuickStart Guide 01-30005-0399-20070830
FortiGate- WIFI-60C QuickStart Guide 19-420-002122-20110128
FortiGate- WIFI-80CM QuickStart Guide 01-412-89807-20090615
FortiGate Desktop Install Guide 01-400-95522-20090501
FortiGate 1U Install Guide 01-400-95523-20090501
FortiGate 2U Install Guide 01-400-95524-20090501
The FortiOS Handbook – The Complete Guide for FortiOS 4.0 MR3 01-
430-99686-20110311
FortiGate 4.0 CLI Reference Guide, 01- 430-99686-20110318
FortiGate 4.0 MR3 HA Guide, 01-431-99686-20110623
10 Activités d'analyse aux fins d’évaluation
Les activités d'analyse et d'évaluation de FortiGate 4.0 constituent une série d’épreuves
rigoureuses portant sur les éléments énumérés ci-dessous.
Développement : Les évaluateurs ont analysé FortiGate 4.0 en se penchant plus
particulièrement sur les spécifications fonctionnelles, sur les documents de conception et sur
un sous-ensemble de la représentation de l’implémentation du produit. Ils ont déterminé que
le modèle proposé décrivait fidèlement les interfaces TSF, les sous-systèmes et les modules
TSF, de même que le processus de mise en œuvre des exigences fonctionnelles de sécurité
(SFR). Ils ont analysé la description de l'architecture de sécurité de FortiGate 4.0 et ont
déterminé que le processus d’initialisation était sécurisé, que les fonctions de sécurité étaient
protégées contre les violations et les contournements, et que les domaines de sécurité étaient
également protégés. De plus, ils se sont également assurés que les renvois entre les divers
documents de conception étaient justes.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 10 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
Guides : Les évaluateurs ont examiné les guides d'utilisation préparatoires et opérationnels
du produit FortiGate 4.0. Ils ont déterminé que les guides décrivaient suffisamment en détail,
et sans ambiguïté, les modes d’utilisation et d’administration de la TOE, ainsi que les façons
de la rendre conforme à la configuration évaluée, et ce, en toute sûreté. Ils ont aussi examiné
et testé les guides d’utilisation préparatoires et opérationnels, et ont déterminé qu’ils étaient
complets et suffisamment détaillés pour assurer une configuration sûre.
Soutien au cycle de vie : Les évaluateurs ont analysé le système de gestion de configuration
du produit FortiGate 4.0 et la documentation s’y rapportant. Ils ont constaté que les éléments
de configuration du produit FortiGate 4.0 y étaient clairement indiqués et qu'ils pouvaient
être modifiés et contrôlés par des outils automatisés. Le système de gestion de la
configuration du développeur a été observé lors d’une visite des lieux. Au reste, les
évaluateurs ont constaté que le système était évolué et bien développé, et qu’il fonctionnait
selon le plan de gestion de la configuration. Les évaluateurs ont confirmé que les mesures de
contrôle d’accès décrites dans le plan de gestion de la configuration assuraient la protection
contre tout accès non autorisé aux éléments de configuration.
Après examen, les évaluateurs ont établi que la documentation de livraison décrivait toutes
les procédures nécessaires à la préservation de l'intégrité du produit FortiGate 4.0 en vue de
la distribution aux utilisateurs.
Au cours de leur visite, les évaluateurs ont examiné les procédures de sécurité du
développement et ont déterminé que les mesures de sécurité appliquées en environnement de
développement étaient suffisamment rigoureuses pour assurer la confidentialité et l'intégrité
de la conception ainsi que de la mise en œuvre du produit FortiGate 4.0. Ils ont déterminé
que le développeur avait utilisé un modèle documenté du cycle de vie de la TOE ainsi que
des outils de développement adéquatement définis et aptes à produire des résultats uniformes
et prévisibles.
Les évaluateurs ont examiné les procédures de correction d'anomalies utilisées par Fortinet
pour le produit FortiGate 4.0. Lors d’une visite du site, ils ont également constaté des signes
probants du respect des procédures. Par ailleurs, ils ont conclu que les procédures
permettaient, dans un premier temps, de pister et de corriger efficacement les anomalies de
sécurité et, dans un deuxième temps, de mettre l’information recueillie à la disposition des
utilisateurs du produit aux fins de correction des défauts, le cas échéant.
Estimation des vulnérabilités : Les évaluateurs ont effectué une analyse de vulnérabilité
indépendante du produit FortiGate 4.0. De plus, ils ont effectué un examen des bases de
données portant sur les vulnérabilités du domaine public ainsi qu’un recensement ciblé des
résultats de l’évaluation. Ils ont relevé des vulnérabilités pouvant faire l'objet de tests dans
l'environnement opérationnel du produit FortiGate 4.0.
Toutes ces activités d’évaluation ont obtenu la cote RÉUSSITE.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 11 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
11 Essais des produits de sécurité des TI
Les tests au niveau EAL 4 comportent les étapes suivantes : évaluation des tests réalisés par
le développeur, exécution de tests fonctionnels indépendants et exécution de tests de
pénétration.
11.1 Évaluation des tests par les développeurs
Les évaluateurs ont vérifié si le développeur avait assumé ses responsabilités en matière de
tests, en examinant ses preuves de test et en examinant ses résultats consignés dans le RTE 4 .
Les évaluateurs ont mesuré l’étendue des tests menés par le développeur ainsi que la
profondeur de ses analyses. Ils ont conclu que la démarche était complète et précise. La
correspondance entre la spécification fonctionnelle, la conception de la TOE, la description
de l’architecture de sécurité et les tests indiqués dans la documentation du développeur était
d’ailleurs complète.
11.2 Tests fonctionnels indépendants
Les évaluateurs ont élaboré des tests fonctionnels afin d’étayer les tests du développeur en
examinant la documentation de conception et les guides, en examinant la documentation des
tests du développeur, en répétant un sous-ensemble des procédures de test du développeur et
en créant des scénarios de test allant au-delà des tests réalisés par le développeur.
Tous les tests ont été planifiés et consignés de manière suffisamment détaillée pour permettre
de répéter les procédures d’essai et les résultats. La liste suivante des objectifs de test a ainsi
été établie par EWA-Canada.
a. Réexécution des tests de développeur – Cet objectif de test visait à répéter une partie des
tests de développeur.
b. Vérification de la configuration initiale du mode FIPS-CC – L'objectif de ce test était de
vérifier la configuration de sécurité initiale de la TOE en mode FIPS-CC.
c. Sauvegarde et restauration de la configuration en utilisant une interface USB locale –
L’objectif de ce scénario de test était de vérifier si la configuration de la TOE peut être
sauvegardée et restaurée depuis une clé USB au moyen des interfaces USB locales de la
TOE.
d. Un utilisateur admin non autorisé ne peut accéder aux données consignées dans un
journal (interface CLI) – L’objectif de ce scénario de test était de s’assurer qu’un
4 Le rapport technique d'évaluation est un document du SCCC qui contient de l'information exclusive au
propriétaire ou à l'évaluateur et qui ne peut être diffusé.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 12 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
utilisateur admin non autorisé ne pouvait accéder, par l’entremise de l’interface CLI, aux
données consignées dans un journal.
11.3 Tests de pénétration indépendants
Après l’examen indépendant des bases de données sur les vulnérabilités du domaine public et
de tous les résultats de l’évaluation, les évaluateurs ont effectué des tests indépendants de
pénétration. Les tests de pénétration concernaient principalement les éléments suivants.
a. Balayage des ports – Ce scénario de test visait à identifier les ports ouverts sur la TOE.
b. Surveillance en vue de déceler les fuites d'information – Ce test avait pour objectif de
déterminer si la TOE exposait de l'information pouvant s'avérer utile à un attaquant.
c. Panne de communication – Le but de ce test était de vérifier si, à la suite d’une panne de
communication, la TOE pouvait être en mesure de se rétablir et de fonctionner
normalement.
d. Gestion de session/sessions d’administrateur simultanées – Ce test avait pour objectif de
s’assurer que les sessions d’administration simultanées pouvaient être coordonnées par la
TOE.
e. Contournement/gestion de session – Ce test permettait d’établir si une session
d’administration qui avait été fermée pouvait être reprise (ou non) sans avoir à établir une
nouvelle connexion (login).
f. Violations/injections SQL – L’objectif de ce scénario de test était de tenter de contourner
le mécanisme normal d’authentification par l’injection de paramètres.
Les tests de pénétration indépendants n’ont permis de découvrir aucune vulnérabilité
exploitable dans l’environnement d’exploitation prévu.
11.4 Déroulement des tests
Le produit FortiGate 4.0 a fait l'objet d'une série complète de tests indépendants et
officiellement documentés portant sur la fonctionnalité et la possibilité de pénétration. Les
tests ont eu lieu dans les installations EEPSTI (Évaluation et essais des produits de sécurité
des technologies de l'information) d’EWA-Canada. Des représentants de l’organisme de
certification du SCCC ont assisté à une partie des tests indépendants. Les activités détaillées
de test, y compris les configurations, les procédures, les scénarios de test, les résultats prévus
et les résultats observés sont consignés dans un document distinct faisant état des résultats
des épreuves.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 13 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
11.5 Résultats des tests
Les tests du développeur et les tests fonctionnels indépendants ont permis d’obtenir les
résultats attendus et confirment que FortiGate 4.0 fonctionne conformément aux stipulations
de la ST, aux spécifications fonctionnelles, à la conception de la TOE et à la description de
l'architecture de sécurité.
12 Résultats de l'évaluation
Cette évaluation a constitué la base du niveau d'assurance EAL 4 +. Toutes les activités
d’évaluation ont obtenu la cote RÉUSSITE. Ces résultats sont corroborés par les preuves
contenues dans le RTE.
13 Commentaires, observations et recommandations de l'évaluateur
La documentation se rapportant au produit FortiGate 4.0 comprend des guides détaillés
portant sur l'installation et la sécurité, de même qu'un guide d'utilisation. Le produit
FortiGate 4.0 est facile à configurer, à utiliser et à intégrer dans un réseau d'entreprise.
14 Acronymes, abréviations et sigles
CECC
EAL
EEPSTI
GC
LPC
NIST
PALCAN
RPV
RTE
SCCC
ST
Centre d'évaluation selon les Critères
communs
Niveau d'assurance de l'évaluation
Évaluation et essais des produits de sécurité
des technologies de l’information
Gestion des configurations
Liste des produits certifiés
National Institute of Standards and
Technology
Programme d’accréditation des laboratoires
Canada
Réseau privé virtuel
Rapport technique d’évaluation
Schéma canadien d'évaluation et de
certification selon les Critères communs
Cible de sécurité
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 14 de 15 -

Rapport de certification du SCCC
Fortinet, Incorporated
FortiGate 4.0
TI
TOE
TSF
UTM
VLAN
Technologies de l’information
Cible d’évaluation
Fonctionnalités de sécurité de la TOE
Unified Threat Management
Réseau local virtuel
15 Références
La présente section énumère tous les documents de référence utilisés comme ouvrage de
première main dans la compilation de ce rapport.
a. SCCC, Publication n o 4, Contrôle technique, version 1.8, octobre 2010.
b. Critères communs pour l'évaluation de la sécurité des technologies de l'information,
version 3.1, révision 3, juillet 2009.
c. Méthodologie commune pour la sécurité des technologies de l'information, CEM,
version 3.1, révision 3, juillet 2009.
d. U.S. Government Protection Profile Intrusion Detection System Sensor for Basic
Robustness Environments, version 1.3, 25 juillet 2007.
e. U.S. Government Protection Profile for Application Level Firewall in Basic
Robustness Environments, version 1.1, 25 juillet 2007.
f. U.S. Government Protection Profile for Traffic Filter Firewall in Basic Robustness
Environments, version 1.1, 25 juillet 2007.
g. Security Target for Fortinet FortiGate 50B, 60C, 80C, 110C, 200B, 310B, 311B,
620B, 1000A, 1240B, 3016B, 3040B, 3140B, 3950B, 3951B, 5001SX, 5001A-DW,
5001A-SW, 5001B and FortiWiFi-50B, 60C and 80CM Unified Threat Management
Solutions and FortiOS 4.0 CC Compliant Firmware, version 2.1, 6 décembre 2011.
h. Evaluation Technical Report (ETR) Fortinet FortiGate 50B, 60C, 80C, 110C,
200B, 310B, 311B, 620B, 1000A, 1240B, 3016B, 3040B, 3140B, 3950B, 3951B,
5001SX, 5001A-DW, 5001A-SW, 5001B and FortiWiFi-50B, 60C and 80CM
Unified Threat Management Solutions and FortiOS 4, EAL 4+ Evaluation, Common
Criteria Evaluation Number: 383-4-133, Document No. 1660-000-D002, version 1.1,
9 décembre 2011.
___________________________________________________________________________
Version 1.0 23 janvier 2012
- Page 15 de 15 -