Suivi des modifications

Transcription

1

2 Suivi des modifications Edition Date Modifications Phase expérimentale 30 janvier mai avril 2014 Première rédaction pour la phase expérimentale, abrogée par la présente procédure. Fin de la phase expérimentale. Changement de dénomination de l organisme de certification (ANSSI) et améliorations de forme. Modification du domaine de classification du document : passage d une instruction à une note d application. Retrait des redondances vis-à-vis de [CRITERES]. Mise en conformité vis-à-vis de la procédure ANSSI-CSPN- CER-P-01. La présente note d application est disponible en ligne sur le site institutionnel de l'anssi ( 2/12 ANSSI-CSPN-NOTE-01/2

3 TABLE DES MATIERES 1 OBJET DE LA NOTE D APPLICATION INTRODUCTION IDENTIFICATION DU RAPPORT TECHNIQUE D EVALUATION IDENTIFICATION DU PRODUIT EVALUE FONCTIONNALITES, ENVIRONNEMENT D UTILISATION ET DE SECURITE SPECIFICATION DE BESOIN DU PRODUIT UTILISATEURS TYPIQUES ENVIRONNEMENT TYPIQUE D UTILISATION / ARGUMENTAIRE DU PRODUIT DESCRIPTION FONCTIONNELLE DU PRODUIT INVENTAIRE DES FONCTIONS DE SECURITE IDENTIFIEES INSTALLATION DU PRODUIT ANALYSE DE LA CONFORMITE ANALYSE DE LA DOCUMENTATION REVUE DU CODE SOURCE (SI DISPONIBLE) FONCTIONNALITES TESTEES Synthèse des fonctionnalités testées / non testées et des non-conformités Avis d expert sur le produit Durée de l analyse Notes et remarques diverses ANALYSE DE LA RESISTANCE DES FONCTIONS ET MECANISMES LISTE DES MECANISMES ET COTATION DE LEUR RESISTANCE AVIS D EXPERT SUR LA RESISTANCE DES MECANISMES DUREE DE L ANALYSE NOTES ET REMARQUES DIVERSES ANALYSE DES VULNERABILITES (INTRINSEQUES, DE CONSTRUCTION, D EXPLOITATION, ETC.) LISTE DES VULNERABILITES CONNUES OU POTENTIELLES A LA SOUS-CATEGORIE LISTE DES VULNERABILITES REELLEMENT TESTEES LISTE DES VULNERABILITES DECOUVERTES LORS DE L ANALYSE ET NON CONNUES DES BASES UTILISEES AVIS D EXPERT SUR LES VULNERABILITES DUREE DE L ANALYSE NOTES ET REMARQUES DIVERSES ANALYSE DE VULNERABILITES INDUITES SUR LE SYSTEME HOTE (SI APPLICABLE) ANALYSE DE LA FACILITE D EMPLOI CAS OU LA SECURITE EST REMISE EN CAUSE RECOMMANDATIONS POUR UNE UTILISATION SURE DU PRODUIT AVIS D EXPERT SUR LA FACILITE D EMPLOI NOTES ET REMARQUES DIVERSES ENTRETIEN AVEC LES DEVELOPPEURS RESULTAT DES ENTRETIENS AVIS SUR LE DEVELOPPEUR ÉVALUATION DE LA CRYPTOGRAPHIE (SI LE PRODUIT IMPLEMENTE DES MECANISMES CRYPTOGRAPHIQUES) SYNTHESE REFERENCES ANNEXE MODELE DE FICHE D ANALYSE DE CONFORMITE DES FONCTIONS DE SECURITE ANSSI-CSPN-NOTE-01/2 3/12

4 1 Objet de la note d application La présente note d application fixe les informations attendues dans les rapports techniques d évaluation (RTE) de certification de sécurité de premier niveau (CSPN). Elle constitue un complément à la description des critères d évaluation CSPN décrit par [CRITERES]. Cette méthodologie peut être raffinée en fonction du type de produit à évaluer. Dans ce cas, la méthodologie spécifique doit être utilisée. 2 Introduction L'évaluation d'un produit doit permettre de vérifier qu'il fournit bien les fonctions de sécurité indiquées dans sa cible de sécurité, que toutes les fonctions de sécurité atteignent au moins un niveau intrinsèque de résistance «élémentaire» et qu aucune vulnérabilité n a pu être exploitée lors de l évaluation. Cette dernière conclusion doit être prise avec toute la prudence que l on doit avoir dans le domaine de la sécurité des technologies de l information. Il n est en effet pas possible de garantir l absence de vulnérabilité exploitable dans le produit. 3 Identification du rapport technique d évaluation Nom du projet d évaluation Référence du RTE Auteur Approbateur Date de création du RTE Date de mise à jour du RTE N de version du RTE Divers Identifiant unique fourni par l ANSSI Identifiant unique fourni par le CESTI Nom du ou des experts intervenants dans la réalisation de l analyse Nom du contrôleur technique Date de création du RTE Date de mise à jour du RTE Texte libre 4 Identification du produit évalué Nom de l éditeur Nom du produit Nom commercial N de version analysée N exact (version, release) Correctifs éventuels appliqués Domaine technique CSPN Divers 5 Fonctionnalités, environnement d utilisation et de sécurité Afin de disposer d un référentiel permettant de guider les analyses de sécurité, l évaluateur doit tout d'abord effectuer les tâches suivantes : - analyser la documentation disponible ; - identifier les besoins en termes de plate-forme de tests. L évaluateur doit ensuite impérativement renseigner les chapitres suivants du RTE. 4/12 ANSSI-CSPN-NOTE-01/2

5 5.1 Spécification de besoin du produit Il s agit de répondre à trois questions : - pour quel usage le produit a-t-il été développé? - quelles sont les menaces portant sur les biens sensibles manipulés par le produit? - quelles sont les fonctions de sécurité permettant de parer les menaces identifiées? 5.2 Utilisateurs typiques Il s agit de décrire les utilisateurs typiques du produit analysé, par exemple : - utilisateur grand public : pas de compétence particulière en informatique ; - utilisateur confirmé : connaissance des principaux concepts de l informatique ; - administrateur : connaissance fine des principaux concepts de l informatique et des réseaux, capacité à configurer et administrer un parc d ordinateurs reliés en réseau ; - expert : expert dans le domaine du produit (typiquement, l évaluateur). 5.3 Environnement typique d utilisation / Argumentaire du produit Il s agit d identifier : - la manière dont il est prévu d'utiliser ce produit ; - l'environnement prévu pour son utilisation et les menaces supposées dans cet environnement. L évaluateur doit fournir un résumé des caractéristiques de sécurité du produit, et définir toutes les hypothèses identifiables concernant l'environnement et la manière dont le produit sera utilisé. Ceci inclut les mesures de sécurité logiques, physiques, organisationnelles, relatives au personnel et les technologies de l information (TI) requises en appui du produit, ainsi que les dépendances du produit par rapport à des matériels, des logiciels et/ou des microprogrammes qui ne sont pas fournis avec le produit. Une description de l architecture type du système d information dans lequel le produit est normalement utilisé peut être fournie, si elle est identifiable. 5.4 Description fonctionnelle du produit Il s agit de décrire les fonctionnalités de sécurité du produit. 5.5 Inventaire des fonctions de sécurité identifiées Les fonctions de sécurité identifiées doivent être décrites et classées par fonctionnalité dans le tableau suivant. Légende : - Existence de la fonction dans le produit : Oui (O) ; Non (N) ; Information non disponible (ND) ; Sans objet (SO). - Criticité de la fonction pour le produit : Critique (C) ; Important (I) ; Facultatif (F). Le tableau qui suit précise en italique la signification des intitulés proposés des fonctions de sécurité. ANSSI-CSPN-NOTE-01/2 5/12

6 Intitulé Gestion des alarmes Journal de sécurité Détection d intrusion Revue du journal d audit Sélection du journal d audit Stockage du journal d audit Non répudiation de l origine Non répudiation de la réception Gestion des clés Opération cryptographique Politique de contrôle d accès Fonctions de contrôle d accès Authentification des données utilisateur Export hors du périmètre d évaluation Politique de contrôle des flux de données Fonctions de contrôle des flux de données Importation depuis une zone hors du périmètre d évaluation Transfert interne au périmètre d évaluation Existence (O / N / ND / SO) Criticité pour le produit (C / I / F) Audit de la sécurité Description et commentaire sur la fonction de sécurité Mesures prises dans le cas où des événements indiquant une violation potentielle de la sécurité sont détectés. Enregistrement des occurrences d événements touchant à la sécurité. Moyens automatisés qui analysent l activité du système et les données d audit, à la recherche de violations possibles ou effectives de la sécurité. Outils d audit qui devraient être mis à la disposition d utilisateurs autorisés afin de les assister dans la revue des données d audit. Définit des exigences pour inclure ou exclure des événements de l ensemble des événements auditables. Capacité de créer et de maintenir une trace d audit sûre. Communication Garantit que l émetteur d informations ne peut pas nier avoir envoyé les informations. Garantit que le destinataire des informations ne peut pas nier avoir reçu les informations. Support cryptographique Génération, distribution, accès et destruction de clés cryptographiques. Opérations cryptographiques typiques (le chiffrement ou le déchiffrement de données, la génération ou la vérification de signatures numériques, la génération d un code d intégrité de message cryptographique pour des besoins d intégrité ou pour la vérification d un code d intégrité, le hachage sécurisé, le chiffrement ou le déchiffrement de clés cryptographiques et la négociation de clés cryptographiques.) Protection des données de l utilisateur Fonctions permettant d attester que les attributs de sécurité et les protections des données utilisateurs puissent être soit explicitement préservés, soit être ignorés, après qu elles ont été exportées. 6/12 ANSSI-CSPN-NOTE-01/2

7 Intitulé Suppression des données temporaires Confidentialité et intégrité des données stockées Confidentialité et intégrité du trafic utilisateur Intégrité des données utilisateur lors d un flux interne Gestion de l échec de l authentification Définition des attributs de l utilisateur Génération de mots de passe Mécanismes d authentification Mécanismes d identification Administration des fonctions de sécurité Administration des attributs de sécurité Administration des données de sécurité Révocation/ compromission des éléments secrets Gestion des profils utilisateur Anonymat Possibilité d agir sous un pseudonyme Impossibilité d établir un lien Non-observabilité Existence (O / N / ND / SO) Criticité pour le produit (C / I / F) Description et commentaire sur la fonction de sécurité Besoin de garantir que les informations détruites ne seront plus accessibles et que des objets nouvellement créés ne contiennent pas d informations qui ne devraient pas être accessibles. Identification et authentification Fonction permettant de définir des paramètres pour un certain nombre de tentatives d authentification infructueuses et les actions du produit en cas d échecs de tentatives d authentification. Attributs de sécurité de l utilisateur, autres que son identité. Gestion de la sécurité Fonctions permettant à des utilisateurs autorisés de contrôler l administration de fonctions de sécurité. Fonctions permettant à des utilisateurs autorisés de contrôler l administration des attributs de sécurité. Fonctions permettant à des utilisateurs autorisés de contrôler l administration des données de sécurité. Affectation de différents rôles aux utilisateurs. Protection de la vie privée Garantit qu un utilisateur peut utiliser une ressource ou un service sans révéler son identité d utilisateur. Garantit qu un utilisateur peut utiliser une ressource ou un service sans révéler son identité d'utilisateur, mais peut quand même avoir à répondre de cette utilisation. Garantit qu un utilisateur peut utiliser plusieurs fois des ressources ou des services sans que d autres soient capables d établir un lien entre ces utilisations. Garantit qu un utilisateur peut utiliser une ressource ou un service sans que d autres, en particulier des tierces parties, soient capables d observer que la ressource ou le service est en cours d utilisation. ANSSI-CSPN-NOTE-01/2 7/12

8 Intitulé Haute disponibilité Protection des données exportées (disponibilité, intégrité, confidentialité) Protection physique du produit Gestion des pannes et reprise après incident Détection de rejeu Horodatage Autotests Tolérance aux pannes Gestion des quotas/qualité de service Gestion des sessions utilisateur Existence (O / N / ND / SO) Criticité pour le produit (C / I / F) Protection des fonctions de sécurité du produit Description et commentaire sur la fonction de sécurité Fonctions permettant de restreindre les accès physiques non autorisés au produit et de prévenir une modification physique non autorisée ou une substitution du produit. Détecter l altération du code exécutable du produit et des données due à diverses défaillances qui ne provoquent pas nécessairement l arrêt de son fonctionnement. Utilisation des ressources Fonction permettant un mode dégradé. Accès au périmètre d évaluation Limitation du nombre de sessions parallèles, historique des accès, verrouillage de session etc. 6 Installation du produit Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.2 de Les informations sont à renseigner dans des sous-chapitres traitant des points suivants : - particularités de paramétrage de l environnement ; - options d installation retenues pour le produit ; - description de l installation et des non-conformités éventuelles ; - durée de l installation ; - notes et remarques diverses. 7 Analyse de la conformité 7.1 Analyse de la documentation Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.3 de 7.2 Revue du code source (si disponible) Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.4 de 8/12 ANSSI-CSPN-NOTE-01/2

9 7.3 Fonctionnalités testées Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.5 de Pour chaque fonction analysée, l évaluateur renseigne une fiche «Analyse de conformité» (voir Annexe). Ces fiches doivent être annexées au RTE. L évaluateur n indique à cet endroit du rapport que les références à ces fiches Synthèse des fonctionnalités testées / non testées et des non-conformités Avis d expert sur le produit Durée de l analyse Notes et remarques diverses 8 Analyse de la résistance des fonctions et mécanismes L objectif est de disposer d un avis d expert sur la résistance théorique des fonctions, selon les moyens de l attaquant. Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.6 de 8.1 Liste des mécanismes et cotation de leur résistance 8.2 Avis d expert sur la résistance des mécanismes 8.3 Durée de l analyse 8.4 Notes et remarques diverses 9 Analyse des vulnérabilités (intrinsèques, de construction, d exploitation, etc.) Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.7 de 9.1 Liste des vulnérabilités connues ou potentielles à la sous-catégorie 9.2 Liste des vulnérabilités réellement testées Si des outils ou des méthodologies spécifiques sont nécessaires pour l exploitation de la vulnérabilité, ils seront décrits. Si des outils tiers sont requis, ils seront livrés avec le produit dans la mesure où ils sont libres de droits (logiciels libres ou développés sur mesure au titre du marché). Exemples de vulnérabilités classiques : - les mécanismes peuvent être a priori robustes mais mal implémentés ; - l architecture du logiciel lui-même peut favoriser des attaques ; - il peut exister des canaux cachés introduits volontairement ou non ; - certaines implémentations ne se prémunissent pas contre le swap des clés sur disque ; - certaines implémentations n effacent pas les fichiers de façon sécurisée. 9.3 Liste des vulnérabilités découvertes lors de l analyse et non connues des bases utilisées 9.4 Avis d expert sur les vulnérabilités 9.5 Durée de l analyse ANSSI-CSPN-NOTE-01/2 9/12

10 9.6 Notes et remarques diverses 10 Analyse de vulnérabilités induites sur le système hôte (si applicable) L objectif est de disposer d un avis d expert sur l impact de l installation du produit sur la sécurité du système hôte, selon les moyens de l attaquant, quand cette installation nécessite des privilèges particuliers sur le système hôte. Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.8 de 11 Analyse de la facilité d emploi Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.9 de Il sera indiqué dans le RTE les cas où la sécurité du produit peut être remise en cause dans certains modes utilisation ou configurations du produit. Dans ce cas, il faut recommander, si une telle option existe, une configuration permettant d atteindre le meilleur niveau de sécurité afin de contrer les menaces identifiées. Une réduction du périmètre fonctionnel du produit (au sens de la sécurité) peut éventuellement être proposée Cas où la sécurité est remise en cause 11.2 Recommandations pour une utilisation sûre du produit 11.3 Avis d expert sur la facilité d emploi 11.4 Notes et remarques diverses 12 Entretien avec les développeurs Cette tâche est facultative Résultat des entretiens L expert en charge de l analyse indique les éléments qui lui semblent intéressant à mentionner pour le lecteur Avis sur le développeur Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.10 de 13 Évaluation de la cryptographie (si le produit implémente des mécanismes cryptographiques) Le contenu attendu est détaillé dans la partie «Tâches de l évaluateur» du paragraphe 4.11 de 14 Synthèse L évaluateur fournit ici un avis d expert qui synthétise, pour un lecteur technique, les résultats des tâches précédentes. 10/12 ANSSI-CSPN-NOTE-01/2

11 15 Références [CEM] : Common Methodology for Information Technology Security Evaluation : Evaluation Methodology, version en vigueur. [RGS_B] : Référentiel général de sécurité, annexes B : [RGS_B1] : Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques. [RGS_B2] : Règles et recommandations concernant la gestion des clés utilisées dans des mécanismes cryptographiques. [RGS_B3] : Règles et recommandations concernant les mécanismes d'authentification. [CRITERES] : Critères pour l'évaluation en vue d'une certification de sécurité de premier niveau, référence ANSSI-CSPN-CER-I-02, version en vigueur. ANSSI-CSPN-NOTE-01/2 11/12

12 ANNEXE Modèle de fiche d analyse de conformité des fonctions de sécurité Fiche vierge Objectif de l analyse : Fonction de sécurité : Scénario du test : Référence Produit Réf. de la fiche Objet du test : Auteur Opérations à effectuer Résultats attendus Résultats observés Conclusion : Exemple Objectif de l analyse : Logiciel PPP version 3.5 Réf. : Test-PPP-1 Auteur : XXXXX Fonction de sécurité : filtrage IP Objet du test : Un pare-feu devrait jeter tout le trafic non explicitement autorisé. Ce test vérifie que le logiciel PPP est bien dans ce cas. Scénario du test : machine tout juste installée Opérations à effectuer Résultats attendus Résultats observés Désactiver la règle de rejet par défaut et faire un «scan» du réseau interne avec par exemple netwox 67 --ips ports pour TCP et la même chose pour UDP avec la commande n 69. Réactiver la règle. Conclusion : Aucune connexion TCP ne réussit. Pour UDP, seul le port 53 doit être accessible. Le «scan» TCP déclare toutes les tentatives en «timeout», sauf pour le port autorisé correspondant à SMTP. Le «scan» UDP déclare «timeout» pour tous y compris le port 53 correspondant au DNS, ce qui est inattendu. Résultats corrects, le rejet du paquet UDP vers le port 53 étant dû, d'après le journal du firewall, au fait que celui-ci n'est pas un paquet DNS correct. 12/12 ANSSI-CSPN-NOTE-01/2