INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Transcription

1 INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION Natalya Robert 23 janvier UPMC

2 L ANSSI Qu est ce que c est? 2

3 L ANSSI Agence Nationale de la Sécurité des Systèmes d Informations Créée en 2009 par décret Rattachée au SGDSN Liée directement au PM Réservoir de compétences au profit de l état et des OIV* *Opérateur d Importance Vitale 3

4 L ANSSI Objectifs Doter la France de véritables capacités en SSI Stratégie, Livre Blanc, LPM* Être une puissance mondiale de Cyberdéfense Moyens Prévention Réglementation, labellisation, conseil, formation Défense Gestion d incident, réponses aux crises *Loi de Programmation Militaire 4

5 L ANSSI CCN 5

6 LA CERTIFICATION Décret Service public (impartial, gratuit) Schéma d évaluation et de certification Evaluation CC Microcircuit, cartes, logiciels Evaluation CSPN Pare-feu, communication sécurisée, contrôle d accès, stockage sécurisé Maintenance Continuité de l assurance après une modification non sécuritaire du produit Surveillance Tests de résistance d un produit après certification 6

7 LA CERTIFICATION Groupes de travail internationaux CCRA SOGIS Techniques Agréments des laboratoires Des contacts avec de nombreux industriels 7

8 LA CERTIFICATION Et aussi du domaine public 8

9 LA CERTIFICATION Quels produits? Vous en utilisez? 9

10 LA CERTIFICATION Quels produits? Vous en utilisez? 10

11 LA CERTIFICATION Qu est ce que c est? 11

12 LA CERTIFICATION Label délivré par le PM Critères Communs CSPN Assurance Cible d évaluation Qu est ce que c est? Conformité Cible de sécurité Reconnaissance Profil de protection Standards Analyse de vulnérabilité Travaux d évaluation Qualification Agrément CESTI 12

13 LA CERTIFICATION Un peu d histoire 13

14 LA CERTIFICATION Un peu d histoire des CC 1983 USA Orange Book TCSEC* 1990 FR UK NL GE ITSEC** 1993 CANADA CTCPEC*** 1995 US, Europe, Canada Common Criteria 2012 CC, version 3.1 révision 4 *TCSEC Trusted Computer System Evaluation Criteria **ITSEC Information Technology Security Evaluation Criteria ***CTCPEC Canadian Trusted Computer Product Evaluation Criteria 14

15 LA CERTIFICATION Deux objectifs Développer des critères d évaluation harmonisés entre les nations Assurer la reconnaissance des certificats entre les nations 15

16 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 16

17 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) 5 pays qualifiés pour la carte à puce France, Allemagne, Angleterre, Hollande, Espagne *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 17

18 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays

19 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-Zélande, Norvège, Corée, Espagne, Suède, Turquie, Angleterre, Etats-Unis

20 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-zélande, Norvège, Corée, Espagne Suède, Turquie, Angleterre, Etats-Unis 9 pays «consommateurs» Autriche, République Tchèque, Danemark, Finlande, Grèce, Hongrie, Israël, Pakistan, Singapour

21 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 21

25 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE ST PP 25

26 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation 26

27 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation 27

28 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit 28

29 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit TOE 29

30 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit Tests de vulnérabilités TOE Tests de conformité 30

31 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Spécification du besoin de sécurité Définition de ce qui est et ce qui n est pas évalué (cahier des charges) 31

32 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Biens, menaces, objectifs de sécurité (sur la TOE et l environnement), hypothèses (restrictions d usage) Identification du produit (unique) Cible d évaluation (TOE) Fonctions de sécurité évaluées Cycle de vie Niveau d évaluation EAL Document initial pour lancer une certification Vérification par CCN (non trompeuse, cohérente, charges ) Peut évoluer au cours de l évaluation o o Des vulnérabilités identifiées en évaluation peuvent être couvertes par des hypothèses De nouvelles fonctions de sécurité peuvent être ajoutées 32

33 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Menaces supposées Cible de sécurité 33

34 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Données stockées dans la TOE Données échangées avec le terminal Données de traçabilité Clefs cryptographiques Menaces supposées Cible de sécurité 34

35 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Menaces supposées Cible de sécurité 35

36 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Toute personne ou processus voulant nuire à la sécurité de la TOE définie dans la ST Détenteur du passeport Manipulateur du passeport Menaces supposées Cible de sécurité 36

37 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité 37

38 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Imitation du système d inspection Ecoute des communications Modification des données ou des fonctions de sécurité Effacement des données Fuite d information Menaces supposées Clonage du passeport Cible de sécurité 38

39 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Données stockées dans la TOE Personne possédant un ou plusieurs documents «légitimes» Clonage du passeport Cible de sécurité Menaces supposées 39

40 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 40

41 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE 41

42 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Cible de sécurité Menaces supposées La TOE doit assurer l intégrité des données de l utilisateur stockées dans le passeport et échangées pendant les communications avec le terminal La TOE doit assurer l authenticité des données de l utilisateur échangées avec le terminal La TOE doit assurer la confidentialité des données de l utilisateur La TOE doit empêcher la récolte des données de traçabilités Objectifs de sécurité sur la TOE La TOE doit être protégée contre la fuite d information, falsification, le dysfonctionnement 42

43 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 43

44 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité L émetteur du passeport doit le délivrer et accepter l usage du terminal conformément aux lois et régulations en vigueur L émetteur du passeport doit s assurer que les agents de personnalisation inscrivent les bonnes données (identité, biométrie ) Cible de sécurité Menaces supposées Le terminal doit respecter certaines règles (crypto, protocoles, confidentialité ) Le pays émetteur doit respecter certaines règles (infrastructures de clefs publiques, examen du passeport du voyageur pour vérifier son authenticité ) Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 44

45 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Hypothèses Cible de sécurité Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 45

46 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Le pays émetteur ou «receveur» établit une infrastructure de clefs publiques pour l authentification Cible de sécurité Menaces supposées Le pays émetteur gère une CA qui, de manière sécurisé, génère, stocke et utilise une paire de clefs de signature du pays Hypothèses Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 46

47 LES CRITÈRES COMMUNS Quelques notions indispensables! PP Protection Profile Profil de protection Cible générique pour un type de produit défini et pour un usage donné Contient déjà la trame (biens, menaces, objectifs ) Défini déjà le besoin de sécurité Rédaction par un ensemble de commanditaires ou d acteurs d un type de produit (PP passeport, PP SSCD, PP tachographe, PP JavaCard ) Intérêt: permet de s assurer qu un produit est conforme à un besoin de sécurité déterminé (pas de modification de la TOE en cours d évaluation pour échapper à des vulnérabilités) 47

52 C est quoi les CC? Ensemble de règles auquel un produit peut se conformer Plusieurs niveaux: «EAL» (1->7) Niveau de conformité ADV, AGD, ALC, ASE, ATE Niveau de résistance aux attaques AVA_VAN 52

53 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 53

54 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 54

55 Exemple* (conformité) ASE_CCL.1 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST claim conformance» *CC Part3, version 3.1 R4 55

56 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 56

59 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 59

60 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 60

61 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 61

62 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 62

63 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 1 ADV_INT ADV_IMP AGD_USR ADV_FSP Documentation ADV_SPM Conception ADV_LLD ADV_HLD Valable pour une ancienne version des Critères Communs 63

64 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 2 ADV_INT ADV_IMP ADV_SPM Conception ADV_FSP ADV_HLD ADV_LLD AGD_USR Documentation Valable pour une ancienne version des Critères Communs 64

65 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 3 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 65

66 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 4 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 66

67 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 5 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 67

68 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 6 ADV_INT ADV_IMP ADV_SPM ADV_LLD ADV_FSP ADV_HLD AGD_USR Documentation Conception Valable pour une ancienne version des Critères Communs 68

69 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 7 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 69

70 Niveau des certification de produit en général Microcircuits EAL5-6, AVA_VAN.5 Cartes à puce EAL4-5, AVA_VAN.5 Logiciels EAL3, AVA_VAN.3 70

71 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! *CC, Part3, V3, R4 71

72 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing 72

73 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing 73

74 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE 74

75 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE 75

76 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential 76

77 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 AVA_VAN.1 AVA_VAN.2 77

78 Le niveau AVA_VAN pour les Cartes à puce Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? 78

79 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation* *Application of Attack Potential to Smartcards, v2.9 CCDB

80 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN

81 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 81

82 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.3 AVA_VAN.1-2 AVA_VAN.4 82

83 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 83

84 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 84

85 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 85

86 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères* *Application of Attack Potential to Smartcards, v2.9 CCDB

87 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 87

88 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 88

89 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 89

90 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 90

91 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire 91

92 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire A chaque critère une table de cotation 92

93 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 93

94 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 2. Niveau d expertise Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) 94

95 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 3. Connaissance du produit Public: information dans le domaine publique Restricted: information utilisé lors du développement de la puce (spécifications, guides, documents de préparation ) Sensitive: information HLD et LLD Critical: implémentation (design et code source) Very critical: informations et outils spécifiques et propre au produit 95

96 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 4. Accessibilité au produit 96

97 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 5. Equipement nécessaire Standard: oscilloscope de base, lecteur de carte, PC, logiciel d analyse ou de génération de signal Specialized: oscilloscope haut de gamme, microscope UV, equipement lazer, micro sonde, outils de gravure chimique Bespoke: FIB (Focused Ion Beam), SEM (Scanning electron mircroscope), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 97

98 98

99 TOTAL 99

100 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 100

106 Exemple Pour une DPA? TOTAL = 15 points! 106

107 Le niveau AVA_VAN pour les Cartes à puces Analyse de vulnérabilité Vulnérabilité potentielle Réalisation de l attaque dans l environnement d exploitation prévue L attaque échoue Vulnérabilité non exploitable L attaque réussie Cotation > niveau visé < niveau visé Vulnérabilité résiduelle Vulnérabilité exploitable 107

111 LA CERTIFICATION Exemples certificats CC 111

112 LA CERTIFICATION Et la CSPN? 2006 Création 2008 Début de l expérimentation 2011 Officialisation 112

113 Et pourquoi? Les évaluations CC coûtent cher et sont souvent longues (parfois 1 an ou 2, phénomène essentiellement lié à la maturité des développeurs et du produit) L évaluation CC est un processus mal adapté aux produits à faible retour sur investissement En 2008, mise en place d un processus d évaluation en charges et temps contraints 113

114 CSPN Qu est qu une CSPN? 114

115 CSPN Qu est qu une CSPN? Méthodologie publique française Expertise technique avec des méthodes d évaluation spécifique Différents domaines Anti-virus Pare-feu Contrôle d accès Stockage sécurisé Set Top Box Matériel, logiciel embarqué 115

116 CSPN Qu est qu une CSPN? Charges contraintes de 25h.j. + 10h.j. si crypto Si cryptographie analyse obligatoire Boîte noire Niveau unique Pas de correction possible du produit Processus mis en place en 2008 Beaucoup d échecs! 116

117 CSPN CC EAL 1 à 7 Boîte grise-blanche Accords de reconnaissance des certificats Pas de contraintes de temps Mise à jour du produit possible durant l évaluation Connaissance des CC par le développeur pour fournir des documents conformes Coût relativement élevé (60 à 200K ) CSPN Niveau unique Boîte noire Aucun accord : reconnaissance francofrançaise Temps imposé: 25 h.j (+10 si crypto), adaptation si cas particulier Version du produit figée Aucune connaissance spécifique nécessaire pour le développeur Coût relativement faible (25 à 35K ) 117

118 LA CERTIFICATION Exemples certificats CSPN 118

120 LA CERTIFICATION Par qui sont fait ces tests et analyses? 120

121 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information 121

122 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information Laboratoires agrées par l ANSSI Compétence Expertise dans certains domaines Pour les CC, reconnu à l international (SOGIS) Seuls à pouvoir mener une évaluation CC et CSPN et à pouvoir soumettre ses résultats d évaluation à l ANSSI 9 laboratoires : 3 CC/CSPN matériel 3 CC/CSPN logiciel 3 uniquement CSPN logiciel 122

123 LA CERTIFICATION Comment sont validés les résultats des CESTI? 123

124 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation 124

125 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation Soumis à l ANSSI en fin d évaluation Résultats d évaluation Niveau conformité ADV, AGD, ALC, ASE, ATE Niveau technique AVA Verdict final (le produit est-il bien résistant au niveau visé?) Confidentiel! Validé (ou pas) par le CCN avec l aide d experts techniques internes suivants les domaines Si validation, donne lieu à un certificat et un rapport de certification 125

126 LA CERTIFICATION Exemples certificats CC ou CSPN 126

131 LES MOTIVATIONS Approche sécuritaire Approche marketing Approche réglementaire 131

132 LES MOTIVATIONS Approche sécuritaire Se convaincre que la solution utilisée est sûre En visant un haut niveau de confiance En ne publiant pas forcément les certificats Et en faisant parfois réaliser des expertises complémentaires En centrant l évaluation sur l analyse de vulnérabilités Donneurs d ordre : banques, opérateurs de télécommunications, défense 132

133 LES MOTIVATIONS Approche marketing Syndrome du contrôle technique automobile: Peu importe ce que l on évalue, qui fait l évaluation, où elle se déroule: l important est d avoir le certificat Le prix est prépondérant Les CC ont mis un peu d ordre dans la définition des TOE Généralement conduite par les développeurs (exemples: éditeurs de produits de sécurité) 133

134 LES MOTIVATIONS Approche réglementaire Tout est imposé (la cible de sécurité ou le PP, le niveau visé, etc.) En fort développement aujourd hui Exemples: CEE pour chronotachygraphe, BdF pour porte-monnaie électronique, CEE pour signature électronique, labellisation pour les administrations 134