Microsoft : Windows décroche son contrat de confiance EAL4+
Six produits Windows obtiennent le certificat EAL4+ selon le barème des critères communs. Un classement qui confère à Microsoft un degré de confiance quant à la sécurité de ses produits, à l'échelle internationale.
Alors que Microsoft alerte ses utilisateurs d'une faille béante dans son OS Windows, l'éditeur de Redmond annonce que six de ses produits-phare sous la bannière Windows ont reçu le certificat EAL 4+ (Evaluation Assurance Level) des critères communs (Common Criteria). Un classement défini par l'organisme NIAP (National Information Assurance Partnership) (*), censé garantir aux utilisateurs un degré de confiance dans le niveau de sécurité des logiciels (voir encadré).
Ont reçu le certificat EAL 4+, les éditions Standard, Enterprise et Datacenter de Windows Server 2003 SP1, la version Certificate Server de Windows Server 2003, et enfin les versions Professionnel et Embedded de Windows XP SP2. A noter qu'Exchange 2003 et Isa Server 2004 ont également obtenu ce degré de certification. Bernard Oughanlian, directeur technique et sécurité chez Microsoft France, indique en outre que SQL Server 2005, lancé début novembre, est actuellement en cours d'évaluation.
Un modèle de sécurité Critères Communs en développement
L'évaluation, composé d'une impressionnante série de tests, s'est échelonné sur près de deux ans et demi, précise Bernard Oughanlian. Grâce à ce certificat, « l'utilisateur bénéficie d'une évaluation réalisée par un organisme indépendant, de la mise en oeuvre d'un niveau de sécurité de bout en bout, du poste de travail au serveur, et il dispose enfin d'une liste de paramètres pour la mise en conformité ». Plus concrètement, cela devrait se traduire par la délivrance d'un profil type estampillé Critères Communs sur le poste de travail et le serveur, affirme Bernard Oughanlian. Les utilisateurs pourront alors appliquer ce modèle, « au même titre que l'utilisateur dispose dans Windows XP d'un Assistant de Sécurité».
Pour autant, ce n'est pas une première pour Microsoft. L'éditeur avait également obtenu le certificat CC EAL 4+ pour Windows 2000, Windows 2000 Server et Advanced Server.
Ironie du sort, Microsoft a hier alerté les utilisateurs de Windows qu'une faille de sécurité jugée critique d'Internet Explorer autorisait la prise de contrôle de leur ordinateur. L'éditeur de Redmond a riposté par une rustine, à l'occasion de son mensuel "Patch Day".
(*) un projet développé par le gouvernement américain et soutenu par le National Institute of Standards and Technology (NIST) et la National Security Agency (NSA)