Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
OCTOBRE 2009<br />
METHODOLOGIES ET STANDARDS<br />
RECOMMANDATIONS<br />
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL<br />
L’ANSSI vient d’annoncer la <strong>cert</strong>ification CSPN de la version 1.1 du logiciel VCS-TOOAL édité par<br />
la société Mediscs. Il s’agit d’une application portable embarquée sur un mini CD permettant<br />
d’automatiser l’accès à un site Internet sécurisé. Toutes les opérations requises (installation du<br />
<strong>cert</strong>ificat, lancement de la navigation, authentification et effacement du <strong>cert</strong>ificat) sont rendues<br />
transparentes à l’usager.<br />
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet<br />
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et<br />
dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux<br />
d’évaluation ont pour objectifs:<br />
- de vérifier que le produit est conforme à ses spécifications de sécurité,<br />
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,<br />
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.<br />
Cinq produits sont désormais <strong>cert</strong>ifiés CSPN:<br />
Produit Cat Date Commanditaire CESTI Vers. actuelle<br />
VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL<br />
Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA v1.4.5<br />
TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI v6.2a<br />
Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS v4.9<br />
TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre<br />
Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall<br />
4- effacement de données 5- administration, supervision 6- identification, authent., contrôle accès<br />
7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé<br />
10- matériel et logiciel embarqué 11- Autre<br />
POUR PLUS D’INFORMATION<br />
http://www.ssi.gouv.fr/site_article136.html<br />
- Annonce de la <strong>cert</strong>ification<br />
http://www.ssi.gouv.fr/site_rubrique54.html<br />
- Catalogue CSPN<br />
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE<br />
Le réseau d’excellence Européen ‘eCrypt II’ vient de publier la mise à jour annuelle de son<br />
portefeuille d’algorithmes de chiffrement.<br />
En avril 2008, le projet eSTREAM coordonné par le réseau d’excellence établissait une liste d’algorithmes<br />
de chiffrement symétrique prometteurs, et par conséquent susceptibles d’être un jour standardisés dans<br />
une implémentation purement logicielle (profil N°1) ou matérielle (profil N°2).<br />
Profil N°1 - Logiciel<br />
Profil N°2 - Matériel<br />
HC-128<br />
Grain v1<br />
Rabbit<br />
Mickey v2<br />
Salsa20/12 Trivium<br />
Sosemanuk F-FCSR-H<br />
Cette liste est régulièrement révisée pour tenir compte des avancées dans le domaine de la cryptanalyse.<br />
Ainsi, en septembre 2008, l’un des algorithmes du second profil était retiré de la liste après l’annonce<br />
d’une cryptanalyse réussi contre celui-ci.<br />
Aucun résultat n’a été publié depuis qui puisse remettre en cause la liste établie malgré de nouvelles<br />
analyses tierce de la majorité des candidats des deux profils. L’algorithme ‘Rabbit’, le seul algorithme<br />
ayant été breveté, a été passé dans le domaine public et peut désormais être librement utilisé. La<br />
dernière version de l’implémentation CyaSSL, une pile SSL embarquable, intègre ainsi cet algorithme<br />
ainsi que l’algorithme ‘HC-128’.<br />
Le sommaire de cette note de 10 pages est le suivant:<br />
1 The eSTREAM Portfolio 2009 Annual Update<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 11/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique