Schéma Français. de la Sécurité des Technologies de l Information

Transcription

1 Schéma Français de la Sécurité des Technologies de l Information

2 Ce document constitue le rapport de certification du produit Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK). Ce rapport de certification est disponible sur le site internet de la Direction Centrale de la Sécurité des Systèmes d'information à l'adresse suivante : Toute correspondance relative à ce rapport de certification doit être adressée au : Secrétariat général de la Défense nationale DCSSI Centre de Certification 51, boulevard de Latour-Maubourg PARIS 07 SP. Mél: certification.dcssi@sgdn.pm.gouv.fr La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Tous les noms des produits ou des services de ce document sont des marques déposées de leur propriétaire respectif. Ce document est folioté de 1 à 24 et certificat.

3 PREMIER MINISTRE Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l Information CERTIFICAT 2001/09 Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) Développeurs : STMicroelectronics SA, Bull CP8 Commanditaire : GIE Cartes Bancaires Les caractéristiques de sécurité du produit ci-dessus identifiées dans le rapport de certification ont été évaluées par un Centre d Évaluation de la Sécurité des Technologies de l Information selon les critères ITSEC. Le niveau d évaluation atteint est le niveau E3. La résistance minimum des mécanismes est cotée élevée. Ce certificat est valide pour la version du produit mentionnée, sous réserve du respect des recommandations d utilisation et des restrictions éventuelles figurant dans le rapport de certification associé. Le 30 avril 2001, Le Commanditaire : L Organisme de certification : L Administrateur du GIE Cartes Bancaires Le Directeur chargé de la sécurité des systèmes d information Yves RANDOUX Henri SERRES La présence du logo propre à l Accord de Reconnaissance Mutuelle : - confirme que ce certificat a été délivré sous l autorité d un organisme de certification qualifié qui fait partie du Groupe d Accord, - indique que l autorité de délivrance déclare qu il s agit d un certificat conforme comme défini dans l Accord, - établit par conséquent des éléments pour baser la confiance dans le fait que le certificat est un certificat conforme, bien que ne pouvant en donner une garantie, et qu il sera reconnu en pratique par les autres membres du Groupe d Accord. Les jugements contenus dans le certificat et le rapport de certification sont ceux de l organisme de certification qualifié qui a procédé à la délivrance et ceux du centre d évaluation de la sécurité des technologies de l information qui a conduit l évaluation. L utilisation du logo de cet Accord n entraîne pas la reconnaissance par les autres membres d une quelconque responsabilité relative à ces jugements ou à tout dommage encouru en raison de la confiance accordée à ces jugements par une tierce partie. Organisme de certification : Secrétariat général de la Défense nationale DCSSI 51, boulevard de Latour-Maubourg PARIS 07 SP.

4

5 Rapport de certification 2001/09 2 Chapitre 1 Introduction 1 Ce document représente le rapport de certification du produit Composant masqué B4/B0 V3 - ST19SF04 (référence ST19SF04AB/RVK). 2 Les fonctionnalités, vis-à-vis desquelles le niveau E3 des critères ITSEC a été atteint, sont consignées dans le chapitre 4 du présent rapport. 3 La cible d évaluation est le produit constitué du composant ST19SF04 fabriqué par STMicroelectronics SA et du logiciel B4/B0 V3 développé par Bull CP8. 4 Ce produit est destiné à être inséré dans un support plastique afin d être utilisé pour des opérations de paiements ou de retraits dans le système «CB». Les phases d encartage et de personnalisation du composant masqué sont hors du champs de la présente évaluation. Avril 2001 Page 1

6 1 - Introduction Rapport de certification 2001/09 Page 2 Avril 2001

7 Rapport de certification 2001/09 4 Chapitre 2 Résultats 2.1 Conclusions de l évaluation 5 La cible d évaluation détaillée au chapitre 3 du présent rapport satisfait aux exigences du niveau d évaluation E3. 6 La résistance minimum des mécanismes de sécurité de la cible d évaluation est cotée élevée. 7 La recherche de vulnérabilités exploitables au cours de l évaluation a été définie par la quantité d informations disponibles pour le niveau E3 et par la compétence, l opportunité et les ressources correspondant à la cotation élevée de la résistance minimum des mécanismes. 8 Les caractéristiques de sécurité qui ont été évaluées sont définies au chapitre 4 du présent rapport. 9 Les vulnérabilités connues du commanditaire de l évaluation ont été toutes communiquées aux évaluateurs et au certificateur conformément au critère [ITSEC 3.35]. 10 L utilisation sécuritaire de la cible d évaluation est soumise aux recommandations figurant dans le chapitre 5 du présent rapport. 2.2 Contexte de l évaluation 11 L évaluation a été menée conformément aux critères ITSEC [ITSEC], à la méthodologie définie dans le manuel ITSEM [ITSEM] et aux interprétations définies dans la bibliothèque d'interprétation commune JIL [JIL]. 12 Le micro-circuit ST19SF04ABxyz étant certifié [2000/12] et couvert par le programme de maintenance PM/01 enregistré par le schéma français, les aspects liés au micro-circuit n ont pas été refaits. Pour ces aspects, l évaluateur s est reposé sur les verdicts de l évaluation précédente. 13 L évaluation s est déroulée consécutivement au développement du produit. Avril 2001 Page 3

8 2 - Résultats Rapport de certification 2001/09 14 Le commanditaire de l évaluation est le GIE Cartes Bancaires (ci-après "le commanditaire") : GIE Cartes Bancaires Washington Plaza Paris Cedex 08 France 15 La cible d évaluation a été développée par les sociétés : 16 STMicroelectronics SA pour le développement du micro-circuit : STMicroelectronics SA ZI de Rousset BP Rousset Cedex France 17 Bull CP8 pour le développement du masque B4/B0 V3 : Bull CP8 68 route de Versailles BP Louveciennes France 18 La fabrication du micro-circuit et le masquage du logiciel se déroulent sur le site de STMicroelectronics de Rousset : STMicroelectronics SA ZI de Rousset BP Rousset Cedex France 19 Les travaux d évaluation du masque et les travaux de composition avec les résultats de l évaluation du micro-circuit ont été conduits par le Centre d Evaluation de la Sécurité des Technologies de l Information CESTI LETI (ci-après "l évaluateur") : CESTI LETI CEA/LETI 17 rue des Martyrs Grenoble Cedex 9 France Page 4 Avril 2001

9 Rapport de certification 2001/09 6 Chapitre 3 Présentation du produit 3.1 Objet 20 La cible d évaluation est constituée du micro-circuit électronique ST19SF04 développé par STMicroelectronics SA et de l application B4/B0 V3 masquée sur celui-ci développée par Bull CP8. 21 Ce composant masqué est destiné à être placé dans un support plastique afin d être utilisé pour des opérations de paiements et de retraits dans le système «CB». 3.2 Historique du développement 22 Le micro-circuit électronique a été développé par STMicroelectronics SA et est fabriqué sur son site de Rousset. Ce micro-circuit a été certifié en 2000 [2000/12] puis a été introduit dans le programme de maintenance PM/01 de la plate-forme ST L application masquée a été développée par Bull CP8 sur son site de Louveciennes. 3.3 Description des matériels 24 Le micro-circuit électronique ST19SF04 est un micro contrôleur bâti sur la plateforme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM), et d'une mémoire non volatile de 4Koctets (EEPROM). 25 Celui-ci dispose également de différents mécanismes de sécurité participant à la réalisation des fonctions dédiées à la sécurité pour lesquelles l évaluation a été demandée. 3.4 Description des logiciels 26 L application bancaire «B4/B0 V3 - ST19SF04» est le logiciel embarqué sur le micro-circuit électronique. Il réalise les fonctions nécessaires à l application bancaire CB et participe à la réalisation des fonctions dédiées à la sécurité telles que définies dans le chapitre 4. Avril 2001 Page 5

10 3 - Présentation du produit Rapport de certification 2001/ Description de la documentation 27 La documentation d utilisation et d administration de la cible d évaluation est la suivante : - Contrat porteur émis par les banques à destination des porteurs de cartes bancaires CB, - Manuels émis par le GIE Cartes Bancaires à destination des personnalisateurs et des émetteurs de cartes. Page 6 Avril 2001

11 Rapport de certification 2001/09 16 Chapitre 4 Évaluation 4.1 Préambule 28 Les paragraphes 4.2 à 4.4 ci-après reprennent les éléments essentiels de la cible de sécurité [ST] qui est la référence pour l évaluation. 29 Le micro-circuit ST19SF04ABxyz étant certifié [2000/12] et couvert par le programme de maintenance PM/01 enregistré par le schéma français, les aspects liés au micro-circuit n ont pas été refaits. Pour ces aspects, l évaluateur s est reposé sur les verdicts de l évaluation précédente. 4.2 Caractéristiques de sécurité 30 Le produit permet d assurer : - la confidentialité des données sensibles contenues dans la mémoire des données (codes et clés secrètes), - la confidentialité du logiciel d application, - l authentification des différents utilisateurs du produit. 31 Le produit garantit qu à l issue de sa phase de fabrication, l accès aux données de sa mémoire sera uniquement contrôlé par le logiciel d application. 32 Le produit met en oeuvre, suivant les différentes phases de vie de la carte, des fonctions d authentification et de contrôle d accès vis-à-vis de ses utilisateurs et administrateurs ainsi que des fonctions d authentification de la carte et des transactions bancaires. 33 Le produit permet de garantir la pérennité des données des mémoires. 34 Une fonction d hyperviseur de sécurité détecte des conditions de fonctionnement ou d environnement anormales et génère toute action adéquate pour garantir la sécurité du produit. 35 Le produit met également en oeuvre des fonctions d imputation (limitées à l enregistrement de l identité de l utilisateur à l origine du blocage de la carte et à l enregistrement de l identité de l utilisateur à l origine de l écriture d un mot dans les zones réservées en écriture de la mémoire utilisateur du composant masqué) et d audit (lecture simple de ces enregistrements). Avril 2001 Page 7

12 4 - Évaluation Rapport de certification 2001/ Menaces 36 Dans le contexte de la cible d évaluation, la liste des menaces identifiées dans la cible de sécurité [ST] est la suivante : - divulgation des données confidentielles et du logiciel d application contenus dans le produit, - substitution du composant masqué d une carte CB personnalisée en vue de la réalisation d un clone, - personnalisation du produit par une entité non autorisée, - utilisation des services offerts par le système CB par une personne différente du porteur de la carte CB, - modification non autorisée des données confidentielles, - modification non autorisée des données de configuration et d exploitation, - modification non autorisée d une quelconque donnée d une carte invalidée. 4.4 Fonctions dédiées à la sécurité de la cible d évaluation 37 Les fonctions dédiées à la sécurité évaluées sont les suivantes : - Intégrité des données des mémoires, - Authentification des utilisateurs et administrateurs, - Authentification de la carte, - Authentification (certification) des transactions, - Inhibition du mode tests, - Cloisonnement des zones de mémoire à l issue de la phase de fabrication, - Contrôle d accès aux zones de mémoire, - Irréversibilité des phases, - Enregistrement de l autorité qui a écrit, - Enregistrement de l autorité qui a bloqué, - Hyperviseur de sécurité, - Lecture des données en phase d invalidation, - Réinitialisation, - Disponibilité des services rendus par le composant masqué. 4.5 Rapport Technique d Évaluation 50 Les résultats de l évaluation sont exposés dans le Rapport Technique d Evaluation [RTE]. 4.6 Principaux résultats de l évaluation 51 Le produit répond aux exigences des critères ITSEC pour le niveau E3. Page 8 Avril 2001

13 Rapport de certification 2001/ Évaluation Exigences de conformité Spécifications des besoins 52 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.2, E3.3 et E3.4 du document ITSEC. 53 La cible de sécurité rédigée par le commanditaire décrit l'ensemble des fonctions dédiées à la sécurité. L'argumentaire du produit précise l'environnement d'utilisation prévu identifié à travers les différentes étapes de vie du micro-circuit électronique, depuis sa fabrication jusqu'en phase d'invalidation ainsi que le mode d'utilisation prévu. Les objectifs de sécurité sont précisés. Une correspondance est établie entre les fonctions dédiées à la sécurité et les menaces. 54 Le document cible de sécurité [ST] précise comment les fonctions dédiées à la sécurité sont appropriées au mode d'utilisation prévu et adéquates pour contrer les menaces supposées. Les évaluateurs se sont assurés de l'absence d'incohérence dans la cible de sécurité. Conception générale 55 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.5, E3.6 et E3.7 du document ITSEC. 56 La conception générale fournie pour cette évaluation ne couvre que la partie logicielle de la cible d évaluation. Pour le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 57 Le dossier de conception générale fourni par Bull CP8 décrit la structure générale du masque. Les interfaces externes du composant masqué sont également décrites. La réalisation des fonctions dédiées à la sécurité de la cible de sécurité [ST] est décrite pour chacun des composants. La manière dont les composants principaux réalisent chacune des fonctions dédiées à la sécurité est également décrite. Conception détaillée 58 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.8, E3.9 et E3.10 du document ITSEC. 59 La conception détaillée fournie pour cette évaluation ne couvre que la partie logicielle de la cible d évaluation. Pour le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 60 Le dossier de conception détaillée fournit la conception des composants élémentaires qui mettent en oeuvre les composants principaux issus de la conception générale. La spécification ainsi que les interfaces des composants élémentaires sont décrites. Toutes les fonctions dédiées à la sécurité de la cible de sécurité [ST] sont décrites dans la conception détaillée. Les mécanismes de sécurité réalisant l'ensemble des fonctions dédiées à la sécurité sont décrits ; leurs spécifications (rôle et fonction) sont définies. Les liens qui existent entre les Avril 2001 Page 9

14 4 - Évaluation Rapport de certification 2001/09 fonctions dédiées à la sécurité et les mécanismes sont établis. La manière dont les mécanismes procurent les fonctions est décrite. La traçabilité entre les fonctions dédiées à la sécurité et les mécanismes de sécurité puis les composants est vérifiée. Réalisation 61 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.11, E3.12 et E3.13 du document ITSEC. 62 Seul le code source du masque a été analysé pour cette évaluation. Pour les schémas descriptifs du micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 63 La description de la correspondance entre le code source du masque B4/B0 V3 et la conception détaillée du masque a permis de vérifier la traçabilité des fonctions et des mécanismes dédiés à la sécurité. Cette correspondance met en relation chacun des composants élémentaires de la conception détaillée avec les éléments descriptifs de la réalisation du masque. Chacune de ces relations a pu être vérifiée par l évaluateur. 64 Par ailleurs, une analyse détaillée du code source du masque ainsi que de la description de la correspondance a été effectuée par l évaluateur pour rechercher des vulnérabilités potentielles. Pour mener cette analyse, l évaluateur a notamment utilisé le guide de programmation sécuritaire issu de l évaluation du micro-circuit et fourni par STMicroelectronics SA. 65 La documentation détaillée de tests fournie par Bull CP8 décrit le plan des tests, l'objectif des tests, les procédures de tests à réaliser ainsi que les résultats des tests. Ces documents décrivent la correspondance entre les tests et les mécanismes de sécurité tels qu'ils sont décrits dans la conception détaillée et représentés dans le code source du masque. Pour l analyse des tests menés sur le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 66 Les évaluateurs ont procédé par échantillonnage au passage des programmes de tests sur le produit complet (composant masqué). 67 Les résultats des tests correspondent effectivement aux résultats attendus. La couverture des tests de la cible d'évaluation a été estimée comme acceptable. D'autres types de tests complémentaires ont été réalisés par les évaluateurs pour rechercher des erreurs. Gestion de configuration 68 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.15, E3.16 et E3.17 du document ITSEC. 69 La référence exacte de la cible d évaluation est le composant masqué ST19SF04AB/RVK. Page 10 Avril 2001

15 Rapport de certification 2001/ Évaluation 70 Seul le système de gestion de configuration de Bull CP8 a été analysé pour cette évaluation. Pour le système de gestion de configuration de STMicroelectronics, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du micro-circuit. 71 Le GIE Cartes Bancaires gérant également une partie des fournitures de l évaluation, le système de gestion de configuration de ces documents a été évalué. 72 Chacune des tâches a fait l'objet d'une inspection des procédures et d'une visite sur site pour vérifier que les procédures sont appliquées. 73 Le développement du masque B4/B0 V3 s'appuie sur un système de gestion de configuration comportant une procédure de réception des composants élémentaires de la cible d'évaluation ainsi que de sa documentation. Ce système apporte la garantie nécessaire permettant de préciser que seuls les changements autorisés sont possibles. Un ensemble de procédures intégrées dans le système qualité de l'entreprise décrivent l'utilisation pratique du système de gestion de configuration du produit. Des contrôles fréquents ont lieu au cours du processus de développement. 74 La visite du site de développement du masque à Louveciennes (Bull CP8) a permis de vérifier que les procédures décrites sont appliquées. 75 Le système de gestion de configuration des documents gérés par le GIE Cartes Bancaires a également été analysé pour s assurer que le système contrôle les révisions et livraisons de ces documents. 76 La visite du site du GIE Cartes Bancaires à Paris a permis de vérifier que les procédures décrites sont appliquées. Langages de programmation 77 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.18, E3.19 et E3.20 du document ITSEC. 78 Le langage utilisé pour la réalisation du code source est le langage assembleur ST19. Les directives d'assemblage et de compilation du code source du masque ont été analysées. Les instructions du langage sont clairement définies. Les directives de l'assembleur sont bien documentées. Sécurité des développeurs 79 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.21, E3.22 et E3.23 du document ITSEC. 80 L évaluateur a analysé la sécurité du développement du masque chez Bull CP8 et une partie de la documentation associée au produit chez le GIE Cartes Bancaires. Avril 2001 Page 11

16 4 - Évaluation Rapport de certification 2001/09 81 Pour la sécurité de l environnement de développement et de production du microcircuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 82 Des procédures physiques, organisationnelles, techniques, liées au personnel assurent pour chaque organisme un niveau de protection de la cible d'évaluation, de ses constituants ainsi que de sa documentation qui répond aux exigences du niveau d'évaluation E3. 83 Des visites sur chacun des sites ont permis de vérifier l'application de ces procédures. Documentation utilisateur et d administration 84 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.25, E3.26 et E3.27 ainsi que E3.28, E3.29, E3.30 du document ITSEC. 85 La documentation de la cible d évaluation a été fournie par le GIE Cartes Bancaires ([UTIL] et [ADMIN]). 86 L'utilisateur final est constitué du porteur de la carte et du terminal applicatif. Les fonctions dédiées à la sécurité qui concernent l'utilisateur final apparaissent dans la documentation accompagnée de lignes directrices pour une utilisation sûre de ces fonctions. 87 Les phases de prépersonnalisation et de personnalisation de la carte sont essentielles pour l'administration des fonctions de sécurité : le prépersonnalisateur et le personnalisateur sont les administrateurs de la carte. La documentation d'administration décrit comment la cible d'évaluation doit être administrée de façon sûre. Livraison et configuration 88 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.32, E3.33 et E3.34 du document ITSEC. 89 Les procédures de livraison et de configuration des composants masqués contenant l application B4/B0 V3 ont été fournies par le GIE Cartes Bancaires. 90 La visite sur le site de Bull CP8 a permis de vérifier que ce dernier respectait ces procédures. Démarrage et exploitation 91 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.35, E3.36 et E3.37 du document ITSEC. 92 Pour l évaluation, la phase de démarrage correspond à la réponse au «reset» de la carte. Page 12 Avril 2001

17 Rapport de certification 2001/ Évaluation 93 De plus, la nature du produit fait qu il n est pas possible pendant l exploitation ou le démarrage du produit de désactiver l une des fonctions de sécurité ni d envisager une maintenance corrective du produit si ce n est par un nouveau développement Exigences en efficacité Pertinence 94 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.14, 3.15 et 3.16 du document ITSEC. 95 L analyse globale fournie par le GIE Cartes Bancaires montre comment les menaces sont contrées par les fonctions dédiées à la sécurité. Pour cela un ou plusieurs chemins d attaque permettant de concrétiser les menaces ont été exposés, et il a été montré que les fonctions dédiées à la sécurité mettaient en échec ces attaques et permettaient donc de contrer les menaces identifiées dans la cible de sécurité. 96 L analyse de pertinence fournie par Bull CP8 s appuie sur la conception détaillée ainsi que des éléments de sa réalisation. Cette analyse décrivant les liens entre les mécanismes dédiés à la sécurité et les menaces a permis de montrer que chacune des menaces est convenablement contrée, dans le contexte de la cible d'évaluation, par une ou plusieurs fonctions dédiées à la sécurité. Cohésion 97 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.18, 3.19 et 3.20 du document ITSEC. 98 L analyse globale faite par le développeur du masque montre qu aucune interaction entre deux fonctions dédiées à la sécurité ne crée de faiblesse pour la sécurité ; chacun des deux développeurs a construit sa propre analyse de cohésion des mécanismes dédiés à la sécurité du micro-circuit électronique d une part et du logiciel d application d autre part qui montrent que les fonctions et les mécanismes dédiés à la sécurité coopèrent pour former un ensemble intégré et efficace. 99 Les analyses de cohésion des développeurs ont pris en compte la conception détaillée de la cible d'évaluation ainsi que la réalisation. Les évaluateurs ont vérifié l'absence de conflit ou de contradiction entre les fonctions ou les mécanismes dédiés à la sécurité. 100 Pour l analyse de cohésion des fonctions du micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. Résistance des mécanismes 101 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.22, 3.23 et 3.24 du document ITSEC. Avril 2001 Page 13

18 4 - Évaluation Rapport de certification 2001/ Le développeur du masque a fourni une analyse de la résistance des mécanismes. La liste des mécanismes critiques a été clairement définie. L évaluateur a analysé cette documentation et mené des analyses complémentaires. La cotation indépendante des mécanismes faite par l évaluateur est en accord avec les analyses des développeurs. La cotation globale des mécanismes est considérée comme élevée. Les tests de pénétration ont permis de confirmer cette cotation. 103 Pour l analyse de la résistance des mécanismes du micro-circuit, l évaluateur se repose sur le verdict «SOF-high» et la conformité au composant d assurance AVA_VLA.4 des Critères Communs émis dans le cadre de l évaluation du circuit. 104 La résistance élevée des mécanismes utilisant des calculs cryptographiques a été confirmée par la DCSSI sous réserve du respect des recommandations d utilisation de la cible d évaluation résumées au chapitre 5. Facilité d emploi 105 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.31, 3.32 et 3.33 du document ITSEC. 106 L analyse de facilité d'emploi fournie par le GIE Cartes Bancaires et associée à la documentation d'exploitation de la cible d'évaluation identifie les modes d'exploitation de la cible d'évaluation ainsi que les conséquences et les implications de ces modes sur le maintien d'une exploitation sûre de la cible d'évaluation. 107 L évaluateur a réalisé des tests complémentaires afin de confirmer les résultats de l analyse de facilité d'emploi. Vulnérabilités de la construction et en exploitation 108 Les critères ITSEC pour ces aspects de l efficacité sont définis dans les paragraphes 3.26, 3.27, 3.28 et 3.35, 3.36, 3.37 du document ITSEC. 109 Une analyse de vulnérabilités pour un composant masqué est menée en 3 phases : a) analyse de vulnérabilité du micro-circuit, b) analyse de vulnérabilité du masque, c) analyse de vulnérabilité globale du composant masqué (phase de composition). 110 Seules les phases b et c ont été faites pour cette évaluation. La phase a n a pas été refaite et l évaluateur s est reposé sur les verdicts de l évaluation précédente du micro-circuit. 111 L évaluateur s est ensuite assuré à travers des tests de pénétration sur le produit global que les vulnérabilités potentielles en construction et en exploitation ne sont pas exploitables même avec un niveau élevé de ressource de l attaquant tel que défini par la cotation de la résistance des mécanismes. Page 14 Avril 2001

19 Rapport de certification 2001/ Évaluation Verdicts 112 Pour tous les aspects des critères ITSEC identifiés ci-dessus, un avis réussite a été émis. Avril 2001 Page 15

20 4 - Évaluation Rapport de certification 2001/09 Page 16 Avril 2001

21 Rapport de certification 2001/09 18 Chapitre 5 Recommandations d utilisation 113 La cible d évaluation Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) est soumise aux recommandations d utilisation exprimées ci-dessous. Le respect de ces recommandations conditionne la validité du certificat. a) Le produit doit être utilisé conformément à l environnement d utilisation prévu dans la cible de sécurité [ST], b) La personnalisation doit être strictement définie et contrôlée ; des mesures de sécurité doivent être appliquées au cours de la personnalisation afin de pouvoir garantir l intégrité et la confidentialité des données secrètes introduites dans le produit (codes et clés secrètes), c) Le porteur doit utiliser sa carte conformément aux recommandations fournies par l émetteur, sa banque. Il est notamment le seul responsable de la protection du code PIN qui lui est fourni avec sa carte. Avril 2001 Page 17

22 5 - Recommandations d utilisation Rapport de certification 2001/09 Page 18 Avril 2001

23 Rapport de certification 2001/09 20 Chapitre 6 Certification 6.1 Objet 114 Le produit «Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) dont les caractéristiques de sécurité sont définies dans le chapitre 4 du présent rapport, satisfait aux exigences du niveau d évaluation E La résistance minimum des mécanismes est cotée élevée. 116 La recherche de vulnérabilités exploitables au cours de l évaluation a été définie par la quantité d informations disponibles pour le niveau E3 et par la compétence, l opportunité et les ressources correspondant à la cotation élevée de la résistance minimum des mécanismes. 6.2 Portée de la certification 117 La certification ne constitue pas en soi une recommandation du produit. Elle ne garantit pas que le produit certifié est totalement exempt de vulnérabilités exploitables : il existe une probabilité résiduelle (d autant plus faible que le niveau d évaluation est élevé) que des vulnérabilités exploitables n aient pas été découvertes. 118 Le certificat ne s applique qu à la version évaluée du produit. Avril 2001 Page 19

24 6 - Certification Rapport de certification 2001/09 Page 20 Avril 2001

25 Rapport de certification 2001/09 22 Annexe A Glossaire Biens Cible d évaluation Cibledesécurité Composant masqué Informations ou ressources à protéger par la cible d évaluation ou son environnement. Un produit ou un système et la documentation associée pour l administrateur et pour l utilisateur qui est l objet d une évaluation. Un ensemble d exigences de sécurité et de spécifications à utiliser comme base pour l évaluation d une cible d évaluation identifiée. Micro-circuit électronique avec son masque (logiciel d application) capable de stocker et de traiter des données. Encartage Insertion du composant masqué dans un support plastique, en forme de carte, incluant la phase d assemblage en micromodules et la phase d implantation du composant masqué sur son support plastique. Evaluation Masque Estimation d une cible d évaluation par rapport à des critères définis. Logiciel d application embarqué sur le micro-circuit électronique. Personnalisation Inscription des informations d identification, d authentification, et de services bancaires dans le composant masqué, sur les pistes magnétiques et sur le support plastique afin d associer chaque carte bancaire à son porteur. Porteur Client d une banque, utilisateur des services bancaires qui lui sont offerts par l intermédiaire de la carte CB. Produit Un ensemble de logiciels, microprogrammes ou matériels qui offre des fonctionnalités conçues pour être utilisées ou incorporées au sein d une multiplicité de systèmes. Avril 2001 Page 21

26 A - Glossaire Rapport de certification 2001/09 Page 22 Avril 2001

27 Rapport de certification 2001/09 24 Annexe B Références [ITSEC] Critères d évaluation de la sécurité des systèmes informatiques, version 1.2, juin [ITSEM] Manuel d évaluation de la sécurité des technologies de l information, version 1.0, septembre [JIL] ITSEC Joint Interpretation Library, version 2.0, novembre [ST] Cible de Sécurité du composant masqué B4/B0 V3, réf. DET/DS/ CBMIM1, version 1.0, GIE Cartes Bancaires. [RTE] Rapport Technique d Evaluation, réf. LETI.CESTI.MIM.RE.001, version 1.0, 19 mars 2001 (diffusion contrôlée). [UTIL] Documentation d utilisation, réf. DET/DS/CBGEN4, version 1.0, GIE Cartes Bancaires. [ADMIN] Documentation d administration, réf. DET/DS/CBGEN6, version 1.0, GIE Cartes Bancaires. [2000/12] Rapport de Certification 2000/12 «Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF04ABxyz», décembre 2000, Schéma Français d Evaluation et de Certification de la Sécurité des Technologies de l Information. Avril 2001 Page 23

28 B - Références Rapport de certification 2001/09 Page 24 Avril 2001