En une dizaine d'années, les cartes à puce se sont confortablement installées dans notre quotidien. Que nous achetions notre magazine MISC avec une carte MONEO, que nous justifiions de nos droits à l'assurance maladie au travers de la carte VITALE 2 ou que nous nous authentifiions à l'aéroport avec un passeport électronique, nous confions la manipulation de données personnelles ou sensibles à une micro-puce. Mais, quelle confiance pouvons-nous accorder à la sécurité de ces produits ? Un élément de réponse réside dans la norme ISO/IEC 15408, plus connue sous le nom des « Critères Communs », puisque toutes les applications citées plus haut ont été certifiées selon cette norme. A quoi correspond-elle ? Quel est le processus d'évaluation et quelles en sont les limitations ? Voici ce que nous proposons de présenter dans cet article.
1. Présentation des Critères Communs
Les Critères Communs [1] ont été conçus pour évaluer la sécurité des systèmes d'information. Cette dénomination reflète la volonté de définir des critères, unanimement reconnus, permettant de comparer des résultats obtenus lors d'évaluations sécuritaires indépendantes. Les Critères Communs ont en effet vu le jour dans un contexte où différents processus d'évaluation coexistaient :
- les « Information Technology Security Criteria » en France, Allemagne, Pays-Bas et Royaume-Uni ;
- les « Trusted Computer System Evaluation Criteria » (plus connus sous le nom de « Orange Book ») aux États Unis ;
- les « Canadian Trusted Computer Product Evaluation Criteria » au Canada.
Les efforts réalisés pour unifier ces systèmes d'évaluation donnèrent naissance aux Critères Communs qui ont été institués comme norme ISO en 1999.
Les Critères Communs se veulent génériques : ils ne s'adressent pas a...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
