Veille Technologique Sécurité - cert devoteam

OCTOBRE 2009
METHODOLOGIES ET STANDARDS
RECOMMANDATIONS
ANSSI – CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL
L’ANSSI vient d’annoncer la certification CSPN de la version 1.1 du logiciel VCS-TOOAL édité par
la société Mediscs. Il s’agit d’une application portable embarquée sur un mini CD permettant
d’automatiser l’accès à un site Internet sécurisé. Toutes les opérations requises (installation du
certificat, lancement de la navigation, authentification et effacement du certificat) sont rendues
transparentes à l’usager.
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et
dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux
d’évaluation ont pour objectifs:
- de vérifier que le produit est conforme à ses spécifications de sécurité,
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.
Cinq produits sont désormais certifiés CSPN:
Produit Cat Date Commanditaire CESTI Vers. actuelle
VSC-TOOAL v1.1 6 15/10/09 Mediscs AQL
Netfilter Linux v2.6.27 - IPtables v1.4.2 3 31/08/09 SGDN OPPIDA v1.4.5
TrueCrypt V6.0a 9 01/12/08 SGDN SOGETI v6.2a
Blancco Data Cleaner+ V4.8 4 12/11/08 Blancco France AMOSSYS v4.9
TRANGO Hypervisor V1.5.61 / OMAP 2430 11 11/09/08 Trango Virtual Proc. AQL Acquis VMwAre
Catégories : 1- détection d’intrusions 2- anti-virus, protection malware 3- firewall
4- effacement de données 5- administration, supervision 6- identification, authent., contrôle accès
7- communication sécurisée 8- messagerie sécurisée 9- stockage sécurisé
10- matériel et logiciel embarqué 11- Autre
POUR PLUS D’INFORMATION
http://www.ssi.gouv.fr/site_article136.html
- Annonce de la certification
http://www.ssi.gouv.fr/site_rubrique54.html
- Catalogue CSPN
ECRYPT – ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE
Le réseau d’excellence Européen ‘eCrypt II’ vient de publier la mise à jour annuelle de son
portefeuille d’algorithmes de chiffrement.
En avril 2008, le projet eSTREAM coordonné par le réseau d’excellence établissait une liste d’algorithmes
de chiffrement symétrique prometteurs, et par conséquent susceptibles d’être un jour standardisés dans
une implémentation purement logicielle (profil N°1) ou matérielle (profil N°2).
Profil N°1 - Logiciel
Profil N°2 - Matériel
HC-128
Grain v1
Rabbit
Mickey v2
Salsa20/12 Trivium
Sosemanuk F-FCSR-H
Cette liste est régulièrement révisée pour tenir compte des avancées dans le domaine de la cryptanalyse.
Ainsi, en septembre 2008, l’un des algorithmes du second profil était retiré de la liste après l’annonce
d’une cryptanalyse réussi contre celui-ci.
Aucun résultat n’a été publié depuis qui puisse remettre en cause la liste établie malgré de nouvelles
analyses tierce de la majorité des candidats des deux profils. L’algorithme ‘Rabbit’, le seul algorithme
ayant été breveté, a été passé dans le domaine public et peut désormais être librement utilisé. La
dernière version de l’implémentation CyaSSL, une pile SSL embarquable, intègre ainsi cet algorithme
ainsi que l’algorithme ‘HC-128’.
Le sommaire de cette note de 10 pages est le suivant:
1 The eSTREAM Portfolio 2009 Annual Update
Veille Technologique Sécurité N°135 Page 11/35
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique