INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION Natalya Robert 23 janvier 2015 - UPMC
L ANSSI Qu est ce que c est? 2
L ANSSI Agence Nationale de la Sécurité des Systèmes d Informations Créée en 2009 par décret Rattachée au SGDSN Liée directement au PM Réservoir de compétences au profit de l état et des OIV* *Opérateur d Importance Vitale 3
L ANSSI Objectifs Doter la France de véritables capacités en SSI Stratégie, Livre Blanc, LPM* Être une puissance mondiale de Cyberdéfense Moyens Prévention Réglementation, labellisation, conseil, formation Défense Gestion d incident, réponses aux crises *Loi de Programmation Militaire 4
L ANSSI CCN 5
LA CERTIFICATION Décret 2002-535 Service public (impartial, gratuit) Schéma d évaluation et de certification Evaluation CC Microcircuit, cartes, logiciels Evaluation CSPN Pare-feu, communication sécurisée, contrôle d accès, stockage sécurisé Maintenance Continuité de l assurance après une modification non sécuritaire du produit Surveillance Tests de résistance d un produit après certification 6
LA CERTIFICATION Groupes de travail internationaux CCRA SOGIS Techniques Agréments des laboratoires Des contacts avec de nombreux industriels 7
LA CERTIFICATION Et aussi du domaine public 8
LA CERTIFICATION Quels produits? Vous en utilisez? 9
LA CERTIFICATION Quels produits? Vous en utilisez? 10
LA CERTIFICATION Qu est ce que c est? 11
LA CERTIFICATION Label délivré par le PM Critères Communs CSPN Assurance Cible d évaluation Qu est ce que c est? Conformité Cible de sécurité Reconnaissance Profil de protection Standards Analyse de vulnérabilité Travaux d évaluation Qualification Agrément CESTI 12
LA CERTIFICATION Un peu d histoire 13
LA CERTIFICATION Un peu d histoire des CC 1983 USA Orange Book TCSEC* 1990 FR UK NL GE ITSEC** 1993 CANADA CTCPEC*** 1995 US, Europe, Canada Common Criteria 2012 CC, version 3.1 révision 4 *TCSEC Trusted Computer System Evaluation Criteria **ITSEC Information Technology Security Evaluation Criteria ***CTCPEC Canadian Trusted Computer Product Evaluation Criteria 14
LA CERTIFICATION Deux objectifs Développer des critères d évaluation harmonisés entre les nations Assurer la reconnaissance des certificats entre les nations 15
RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 16
RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) 5 pays qualifiés pour la carte à puce France, Allemagne, Angleterre, Hollande, Espagne *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 17
RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays
RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-Zélande, Norvège, Corée, Espagne, Suède, Turquie, Angleterre, Etats-Unis
RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-zélande, Norvège, Corée, Espagne Suède, Turquie, Angleterre, Etats-Unis 9 pays «consommateurs» Autriche, République Tchèque, Danemark, Finlande, Grèce, Hongrie, Israël, Pakistan, Singapour
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 21
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 22
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 23
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 24
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE ST PP 25
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation 26
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation 27
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit 28
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit TOE 29
LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit Tests de vulnérabilités TOE Tests de conformité 30
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Spécification du besoin de sécurité Définition de ce qui est et ce qui n est pas évalué (cahier des charges) 31
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Biens, menaces, objectifs de sécurité (sur la TOE et l environnement), hypothèses (restrictions d usage) Identification du produit (unique) Cible d évaluation (TOE) Fonctions de sécurité évaluées Cycle de vie Niveau d évaluation EAL Document initial pour lancer une certification Vérification par CCN (non trompeuse, cohérente, charges ) Peut évoluer au cours de l évaluation o o Des vulnérabilités identifiées en évaluation peuvent être couvertes par des hypothèses De nouvelles fonctions de sécurité peuvent être ajoutées 32
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Menaces supposées Cible de sécurité 33
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Données stockées dans la TOE Données échangées avec le terminal Données de traçabilité Clefs cryptographiques Menaces supposées Cible de sécurité 34
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Menaces supposées Cible de sécurité 35
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Toute personne ou processus voulant nuire à la sécurité de la TOE définie dans la ST Détenteur du passeport Manipulateur du passeport Menaces supposées Cible de sécurité 36
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité 37
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Imitation du système d inspection Ecoute des communications Modification des données ou des fonctions de sécurité Effacement des données Fuite d information Menaces supposées Clonage du passeport Cible de sécurité 38
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Données stockées dans la TOE Personne possédant un ou plusieurs documents «légitimes» Clonage du passeport Cible de sécurité Menaces supposées 39
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 40
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE 41
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Cible de sécurité Menaces supposées La TOE doit assurer l intégrité des données de l utilisateur stockées dans le passeport et échangées pendant les communications avec le terminal La TOE doit assurer l authenticité des données de l utilisateur échangées avec le terminal La TOE doit assurer la confidentialité des données de l utilisateur La TOE doit empêcher la récolte des données de traçabilités Objectifs de sécurité sur la TOE La TOE doit être protégée contre la fuite d information, falsification, le dysfonctionnement 42
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 43
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité L émetteur du passeport doit le délivrer et accepter l usage du terminal conformément aux lois et régulations en vigueur L émetteur du passeport doit s assurer que les agents de personnalisation inscrivent les bonnes données (identité, biométrie ) Cible de sécurité Menaces supposées Le terminal doit respecter certaines règles (crypto, protocoles, confidentialité ) Le pays émetteur doit respecter certaines règles (infrastructures de clefs publiques, examen du passeport du voyageur pour vérifier son authenticité ) Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 44
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Hypothèses Cible de sécurité Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 45
LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Le pays émetteur ou «receveur» établit une infrastructure de clefs publiques pour l authentification Cible de sécurité Menaces supposées Le pays émetteur gère une CA qui, de manière sécurisé, génère, stocke et utilise une paire de clefs de signature du pays Hypothèses Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 46
LES CRITÈRES COMMUNS Quelques notions indispensables! PP Protection Profile Profil de protection Cible générique pour un type de produit défini et pour un usage donné Contient déjà la trame (biens, menaces, objectifs ) Défini déjà le besoin de sécurité Rédaction par un ensemble de commanditaires ou d acteurs d un type de produit (PP passeport, PP SSCD, PP tachographe, PP JavaCard ) Intérêt: permet de s assurer qu un produit est conforme à un besoin de sécurité déterminé (pas de modification de la TOE en cours d évaluation pour échapper à des vulnérabilités) 47
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 48
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 49
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 50
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 51
C est quoi les CC? Ensemble de règles auquel un produit peut se conformer Plusieurs niveaux: «EAL» (1->7) Niveau de conformité ADV, AGD, ALC, ASE, ATE Niveau de résistance aux attaques AVA_VAN 52
EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille 1 2 3 4 5 6 7 Intitulé du composant ADV_ARC 1 1 1 1 1 1 Security Architecture Description ADV_FSP 1 2 3 4 5 5 6 Functional specification ADV_IMP 1 1 2 2 Implementation ADV_INT 2 3 3 Internals structure ADV_SPM 1 1 Security policy model ADV_TDS 1 2 3 4 5 6 TOE Design AGD_OPE 1 1 1 1 1 1 1 Operational user guidance AGD_PRE 1 1 1 1 1 1 1 Preparative procedures ALC_CMC 2 3 4 4 5 5 Configuration management capabilities ALC_CMS 1 2 3 4 5 5 5 Configuration management scope ADO_DEL 1 1 1 1 1 1 Delivery ALC_DVS 1 1 1 2 2 Development security ALC_FLR Flaw remediation ALC_LCD 1 1 1 1 2 Life Cycle definition ALC_TAT 1 2 3 3 Tools and technique ASE_CCL 1 1 1 1 1 1 1 Conformance claims ASE_ECD 1 1 1 1 1 1 1 Extended components definition ASE_INT 1 1 1 1 1 1 1 ST introduction ASE_OBJ 1 2 2 2 2 2 2 Security objectives ASE_REQ 1 2 2 2 2 2 2 Security requirements ASE_SPD 1 1 1 1 1 1 Security Problem definition ASE_TSS 1 1 1 1 1 1 1 TOE summary specification ATE_COV 1 2 2 2 3 3 Analysis of coverage ATE_DPT 1 1 3 3 4 Depth ATE_FUN 1 1 1 1 2 2 Functional testing ATE_IND 1 2 2 2 2 2 3 Independent testing AVA Estimation des vulnérabilités AVA_VAN 1 2 2 3 4 5 5 Vulnerabilty Analysis 53
EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille 1 2 3 4 5 6 7 Intitulé du composant ADV_ARC 1 1 1 1 1 1 Security Architecture Description ADV_FSP 1 2 3 4 5 5 6 Functional specification ADV_IMP 1 1 2 2 Implementation ADV_INT 2 3 3 Internals structure ADV_SPM 1 1 Security policy model ADV_TDS 1 2 3 4 5 6 TOE Design AGD_OPE 1 1 1 1 1 1 1 Operational user guidance AGD_PRE 1 1 1 1 1 1 1 Preparative procedures ALC_CMC 2 3 4 4 5 5 Configuration management capabilities ALC_CMS 1 2 3 4 5 5 5 Configuration management scope ADO_DEL 1 1 1 1 1 1 Delivery ALC_DVS 1 1 1 2 2 Development security ALC_FLR Flaw remediation ALC_LCD 1 1 1 1 2 Life Cycle definition ALC_TAT 1 2 3 3 Tools and technique ASE_CCL 1 1 1 1 1 1 1 Conformance claims ASE_ECD 1 1 1 1 1 1 1 Extended components definition ASE_INT 1 1 1 1 1 1 1 ST introduction ASE_OBJ 1 2 2 2 2 2 2 Security objectives ASE_REQ 1 2 2 2 2 2 2 Security requirements ASE_SPD 1 1 1 1 1 1 Security Problem definition ASE_TSS 1 1 1 1 1 1 1 TOE summary specification ATE_COV 1 2 2 2 3 3 Analysis of coverage ATE_DPT 1 1 3 3 4 Depth ATE_FUN 1 1 1 1 2 2 Functional testing ATE_IND 1 2 2 2 2 2 3 Independent testing AVA Estimation des vulnérabilités AVA_VAN 1 2 2 3 4 5 5 Vulnerabilty Analysis 54
Exemple* (conformité) ASE_CCL.1 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST claim conformance» *CC Part3, version 3.1 R4 55
«The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 56
«The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 57
«The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 58
«The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 59
«The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 60
EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille 1 2 3 4 5 6 7 Intitulé du composant ADV_ARC 1 1 1 1 1 1 Security Architecture Description ADV_FSP 1 2 3 4 5 5 6 Functional specification ADV_IMP 1 1 2 2 Implementation ADV_INT 2 3 3 Internals structure ADV_SPM 1 1 Security policy model ADV_TDS 1 2 3 4 5 6 TOE Design AGD_OPE 1 1 1 1 1 1 1 Operational user guidance AGD_PRE 1 1 1 1 1 1 1 Preparative procedures ALC_CMC 2 3 4 4 5 5 Configuration management capabilities ALC_CMS 1 2 3 4 5 5 5 Configuration management scope ADO_DEL 1 1 1 1 1 1 Delivery ALC_DVS 1 1 1 2 2 Development security ALC_FLR Flaw remediation ALC_LCD 1 1 1 1 2 Life Cycle definition ALC_TAT 1 2 3 3 Tools and technique ASE_CCL 1 1 1 1 1 1 1 Conformance claims ASE_ECD 1 1 1 1 1 1 1 Extended components definition ASE_INT 1 1 1 1 1 1 1 ST introduction ASE_OBJ 1 2 2 2 2 2 2 Security objectives ASE_REQ 1 2 2 2 2 2 2 Security requirements ASE_SPD 1 1 1 1 1 1 Security Problem definition ASE_TSS 1 1 1 1 1 1 1 TOE summary specification ATE_COV 1 2 2 2 3 3 Analysis of coverage ATE_DPT 1 1 3 3 4 Depth ATE_FUN 1 1 1 1 2 2 Functional testing ATE_IND 1 2 2 2 2 2 3 Independent testing AVA Estimation des vulnérabilités AVA_VAN 1 2 2 3 4 5 5 Vulnerabilty Analysis 61
EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille 1 2 3 4 5 6 7 Intitulé du composant ADV_ARC 1 1 1 1 1 1 Security Architecture Description ADV_FSP 1 2 3 4 5 5 6 Functional specification ADV_IMP 1 1 2 2 Implementation ADV_INT 2 3 3 Internals structure ADV_SPM 1 1 Security policy model ADV_TDS 1 2 3 4 5 6 TOE Design AGD_OPE 1 1 1 1 1 1 1 Operational user guidance AGD_PRE 1 1 1 1 1 1 1 Preparative procedures ALC_CMC 2 3 4 4 5 5 Configuration management capabilities ALC_CMS 1 2 3 4 5 5 5 Configuration management scope ADO_DEL 1 1 1 1 1 1 Delivery ALC_DVS 1 1 1 2 2 Development security ALC_FLR Flaw remediation ALC_LCD 1 1 1 1 2 Life Cycle definition ALC_TAT 1 2 3 3 Tools and technique ASE_CCL 1 1 1 1 1 1 1 Conformance claims ASE_ECD 1 1 1 1 1 1 1 Extended components definition ASE_INT 1 1 1 1 1 1 1 ST introduction ASE_OBJ 1 2 2 2 2 2 2 Security objectives ASE_REQ 1 2 2 2 2 2 2 Security requirements ASE_SPD 1 1 1 1 1 1 Security Problem definition ASE_TSS 1 1 1 1 1 1 1 TOE summary specification ATE_COV 1 2 2 2 3 3 Analysis of coverage ATE_DPT 1 1 3 3 4 Depth ATE_FUN 1 1 1 1 2 2 Functional testing ATE_IND 1 2 2 2 2 2 3 Independent testing AVA Estimation des vulnérabilités AVA_VAN 1 2 2 3 4 5 5 Vulnerabilty Analysis 62
Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 1 ADV_INT ADV_IMP AGD_USR ADV_FSP Documentation ADV_SPM Conception ADV_LLD ADV_HLD Valable pour une ancienne version des Critères Communs 63
Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 2 ADV_INT ADV_IMP ADV_SPM Conception ADV_FSP ADV_HLD ADV_LLD AGD_USR Documentation Valable pour une ancienne version des Critères Communs 64
Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 3 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 65
Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 4 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 66
Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 5 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 67
Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 6 ADV_INT ADV_IMP ADV_SPM ADV_LLD ADV_FSP ADV_HLD AGD_USR Documentation Conception Valable pour une ancienne version des Critères Communs 68
Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 7 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 69
Niveau des certification de produit en général Microcircuits EAL5-6, AVA_VAN.5 Cartes à puce EAL4-5, AVA_VAN.5 Logiciels EAL3, AVA_VAN.3 70
Le niveau AVA_VAN Dans les critères*: succinct mais objectif! *CC, Part3, V3, R4 71
Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing 72
Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing 73
Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE 74
Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE 75
Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential 76
Le niveau AVA_VAN Dans les critères*: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 AVA_VAN.1 AVA_VAN.2 77
Le niveau AVA_VAN pour les Cartes à puce Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? 78
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation* *Application of Attack Potential to Smartcards, v2.9 CCDB-2013-05-002 79
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 80
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 81
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.3 AVA_VAN.1-2 AVA_VAN.4 82
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 83
Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 84
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 85
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères* *Application of Attack Potential to Smartcards, v2.9 CCDB-2013-05-002 86
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 87
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 88
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 89
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 90
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire 91
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire A chaque critère une table de cotation 92
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 93
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 2. Niveau d expertise Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) 94
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 3. Connaissance du produit Public: information dans le domaine publique Restricted: information utilisé lors du développement de la puce (spécifications, guides, documents de préparation ) Sensitive: information HLD et LLD Critical: implémentation (design et code source) Very critical: informations et outils spécifiques et propre au produit 95
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 4. Accessibilité au produit 96
Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 5. Equipement nécessaire Standard: oscilloscope de base, lecteur de carte, PC, logiciel d analyse ou de génération de signal Specialized: oscilloscope haut de gamme, microscope UV, equipement lazer, micro sonde, outils de gravure chimique Bespoke: FIB (Focused Ion Beam), SEM (Scanning electron mircroscope), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 97
98
TOTAL 99
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 100
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 101
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 102
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 103
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 104
Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 105
Exemple Pour une DPA? TOTAL = 15 points! 106
Le niveau AVA_VAN pour les Cartes à puces Analyse de vulnérabilité Vulnérabilité potentielle Réalisation de l attaque dans l environnement d exploitation prévue L attaque échoue Vulnérabilité non exploitable L attaque réussie Cotation > niveau visé < niveau visé Vulnérabilité résiduelle Vulnérabilité exploitable 107
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 108
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 109
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 110
LA CERTIFICATION Exemples certificats CC 111
LA CERTIFICATION Et la CSPN? 2006 Création 2008 Début de l expérimentation 2011 Officialisation 112
Et pourquoi? Les évaluations CC coûtent cher et sont souvent longues (parfois 1 an ou 2, phénomène essentiellement lié à la maturité des développeurs et du produit) L évaluation CC est un processus mal adapté aux produits à faible retour sur investissement En 2008, mise en place d un processus d évaluation en charges et temps contraints 113
CSPN Qu est qu une CSPN? 114
CSPN Qu est qu une CSPN? Méthodologie publique française Expertise technique avec des méthodes d évaluation spécifique Différents domaines Anti-virus Pare-feu Contrôle d accès Stockage sécurisé Set Top Box Matériel, logiciel embarqué 115
CSPN Qu est qu une CSPN? Charges contraintes de 25h.j. + 10h.j. si crypto Si cryptographie analyse obligatoire Boîte noire Niveau unique Pas de correction possible du produit Processus mis en place en 2008 Beaucoup d échecs! 116
CSPN CC EAL 1 à 7 Boîte grise-blanche Accords de reconnaissance des certificats Pas de contraintes de temps Mise à jour du produit possible durant l évaluation Connaissance des CC par le développeur pour fournir des documents conformes Coût relativement élevé (60 à 200K ) CSPN Niveau unique Boîte noire Aucun accord : reconnaissance francofrançaise Temps imposé: 25 h.j (+10 si crypto), adaptation si cas particulier Version du produit figée Aucune connaissance spécifique nécessaire pour le développeur Coût relativement faible (25 à 35K ) 117
LA CERTIFICATION Exemples certificats CSPN 118
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 119
LA CERTIFICATION Par qui sont fait ces tests et analyses? 120
LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information 121
LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information Laboratoires agrées par l ANSSI Compétence Expertise dans certains domaines Pour les CC, reconnu à l international (SOGIS) Seuls à pouvoir mener une évaluation CC et CSPN et à pouvoir soumettre ses résultats d évaluation à l ANSSI 9 laboratoires : 3 CC/CSPN matériel 3 CC/CSPN logiciel 3 uniquement CSPN logiciel 122
LA CERTIFICATION Comment sont validés les résultats des CESTI? 123
LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation 124
LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation Soumis à l ANSSI en fin d évaluation Résultats d évaluation Niveau conformité ADV, AGD, ALC, ASE, ATE Niveau technique AVA Verdict final (le produit est-il bien résistant au niveau visé?) Confidentiel! Validé (ou pas) par le CCN avec l aide d experts techniques internes suivants les domaines Si validation, donne lieu à un certificat et un rapport de certification 125
LA CERTIFICATION Exemples certificats CC ou CSPN 126
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 127
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 128
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 129
LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 130
LES MOTIVATIONS Approche sécuritaire Approche marketing Approche réglementaire 131
LES MOTIVATIONS Approche sécuritaire Se convaincre que la solution utilisée est sûre En visant un haut niveau de confiance En ne publiant pas forcément les certificats Et en faisant parfois réaliser des expertises complémentaires En centrant l évaluation sur l analyse de vulnérabilités Donneurs d ordre : banques, opérateurs de télécommunications, défense 132
LES MOTIVATIONS Approche marketing Syndrome du contrôle technique automobile: Peu importe ce que l on évalue, qui fait l évaluation, où elle se déroule: l important est d avoir le certificat Le prix est prépondérant Les CC ont mis un peu d ordre dans la définition des TOE Généralement conduite par les développeurs (exemples: éditeurs de produits de sécurité) 133
LES MOTIVATIONS Approche réglementaire Tout est imposé (la cible de sécurité ou le PP, le niveau visé, etc.) En fort développement aujourd hui Exemples: CEE pour chronotachygraphe, BdF pour porte-monnaie électronique, CEE pour signature électronique, labellisation pour les administrations 134
En France: 646 produits certifiés Critères Communs depuis 1995! Statistiques ANSSI-CCN Novembre 2013 135
Parmi les leaders dans le monde! Statistiques CCRA Novembre 2013 136
CSPN: depuis 2009* 96 évaluations, 40 certificats PP: 51* en évaluation *Statistiques ANSSI-CCN Novembre 2013 137
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 Evolution des certifications CC en France 120 100 1 80 0 1 0 60 3 10 PP 8 96 Produits 40 20 0 9 2 8 2 2 5 5 10 11 21 25 28 2 1 35 52 5 30 24 46 63 61 82 85 73 Statistiques ANSSI-CCN Janvier 2015 138
Evolution des certifications CSPN en France Statistiques ANSSI-CCN Novembre 2014 139