Home

Rapport de certification

1. Libert galit Fraternit R PUBLIQUE FRAN AISE PREMIER MINISTRE Secr tariat g n ral de la d fense et de la s curit nationale Agence nationale de la s curit des syst mes d information Rapport de certification ANSSI CSPN 2010 03 Dispositif d change s curis d informations sans interconnex1on r seau DESIIR DESIIR 1 0 Paris le 12 avril 2010 Le Directeur g n ral nationale de la s curit des syst mes d information Patrick Pailloux ORIGINAL SIGNE S CURIT NOI1V91411439 s cunr Rapport de certification Avertissement Ce rapport est destin fournir aux commanditaires un document leur permettant d attester du niveau de s curit offert par le produit dans les conditions d utilisation ou d exploitation d finies dans ce rapport pour la version qui a t valu e Il est destin galement fournir l acqu reur potentiel du produit les conditions dans lesquelles il pourra exploiter ou utiliser le produit de mani re se trouver dans les conditions d utilisation pour lesquelles le produit t valu et certifi c est pourquoi ce rapport de certification doit tre lu conjointement aux guides d utilisation et d administration valu s ainsi qu la cible de s curit du produit qui d crit les menaces les hypoth ses sur l environnement et les conditions d emploi pr suppos es afin que l utilis
2. 15 2 4 ANALYSE DE LA RESISTANCE DES MECANISMES CRYPTOGRAPHIQUES 15 3 se ententes esse 16 3 1 CONCLUSION 16 3 2 RESTRICTIONS D USAGE cote scies 16 ANNEXE 1 REFERENCES DOCUMENTAIRES DU PRODUIT EVALUE 17 ANNEXE 2 REFERENCES LIEES LA CERTIFICATION sms 18 Page 5 sur 18 8 i Rapport de certification 1 Le produit 1 1 Pr sentation du produit Le produit valu est le Dispositif d change s curis d informations sans interconnexion r seau DESIIR Version 1 0 d velopp par EDF R amp D D partement SINETICS Le produit DESIIR Dispositif d change S curis d Informations sans Interconnexion R seau est un dispositif de filtrage permettant le transfert unidirectionnel de donn es entre deux machines pouvant appartenir deux domaines de confiance diff rents via un point de stockage relais avec un filtrage restrictif sur le format des donn es transf r es La figure ci dessous pr sente le fonctionnement g n ral du bo tier en mode Write Only Lecture de l information DESIIR et effacement ventuel Zone basse Zone haute D p t de l information Le bo tier DESIIR est constitu de deux fiches femelles US
3. Centre d valuation AQL Groupe Silicomp 1 rue de la ch taigneraie CS 51766 35513 Cesson S vign Cedex France T l 33 0 2 99 12 50 00 m l cesti aql fr Page 3 sur 18 s cunr Rapport de certification Pr face La certification La certification de la s curit offerte par les produits et les syst mes des technologies de l information est r gie par le d cret 2002 535 du 18 avril 2002 publi au Journal officiel de R publique fran aise Ce d cret indique que e direction centrale de la s curit des syst mes d information labore les rapports de certification Ces rapports pr cisent les caract ristiques des objectifs de s curit propos s Ils peuvent comporter tout avertissement que ses r dacteurs estiment utile de mentionner pour des raisons de s curit Ils sont au choix des commanditaires communiqu s ou non des tiers ou rendus publics article 7 e Les certificats d livr s par le Premier ministre attestent que l exemplaire des produits ou syst mes soumis valuation r pond aux caract ristiques de s curit sp cifi es Ils attestent galement que les valuations ont t conduites conform ment aux r gles et normes en vigueur avec la comp tence et l impartialit requises article 8 Les proc dures de certification sont disponibles sur le site Internet www ssi gouv fr Page 4 sur 18 S cuRIT Rapport de certification i
4. Toutefois la fonction principale diode du produit n est pas remise en cause 2 3 6 Analyse de la facilit d emploi et pr conisations 2 3 6 1 Cas o la s curit est remise en cause Il n a pas t identifi de cas o la s curit est ambig e part ventuellement l inversion des c bles USB 2 3 6 2 Recommandations pour une utilisation s re du produit Les fichiers transitant par DESIIR doivent respecter les formats de donn es d crits dans le manuel utilisateur MANUEL En cas de non respect des r gles de filtrage aucune erreur n est signal e l utilisateur L hypoth se H SEC_PHYSIQUE doit tre imp rativement respect e Le produit DESIIR n a pas pour vocation de s assurer de l innocuit des fichiers qu il transf re C est aux processus c t haut de s assurer de ce point 2 3 6 3 Avis d expert sur la facilit d emploi Le produit est simple d emploi ne n cessite aucune configuration n a pas t identifi de risque d erreur dans l utilisation 2 3 7 Acc s aux d veloppeurs L valuateur a pu contacter facilement les d veloppeurs Ils se sont montr s coop ratifs et ont r pondu clairement aux questions de l valuateur 2 4 Analyse de la r sistance des m canismes cryptographiques Le produit valu ne comporte pas de m canismes cryptographiques Page 15 sur 18 s cunr Rapport de certification 3 La certification
5. Table des mati res 1 toss oundo esse messn recent ter een tue este deene san SST Sosis 6 1 1 PR SENTATION DU PRODUIT 6 1 2 DESCRIPTION DU PRODUIT EVALUE si T 1 2 7 C t gorie di produit EERS EENES SESE t l 7 1 2 2 Identification du produit sise 7 122 30 Services de dense 7 1 2 4 Configuration valu e EEE iE EE 8 2 L EVALUATIONssssscssinnssssssnnsnsnrensnesssennisnienensnenesenanenenns state ne tte sns tos o rops Ensor 9 2 1 REFERENTIELS 9 2 2 CHARGE DE TRAVAIL PREVUE ET DUREE DE L EVALUATION unes 9 2 3 TRAVAUX D EVALUATION entrant 9 2 3 1 Fonctionnalit s environnement d utilisation et de s curit 9 2 3 2 Installation du produit sense 11 2 3 3 Analyse de la conformit sise 12 2 3 4 Analyse de la r sistance des m canismes et des fonctions 14 2 3 5 Analyse des vuln rabilit s conception impl mentation 14 2 3 6 Analyse de la facilit d emploi et pr conisations ss 15 2 3 7 ACCS AUX E E
6. haute et une machine basse Une machine est un PC sous Windows XP SP2 mis jour et l autre un PC sous Ubuntu 9 04 2 3 2 2 Particularit s de param trage de l environnement Le produit DESIIR ne n cessite aucune installation de logiciel mais des param trages particuliers des environnements sont effectuer La documentation utilisateur MANUEL d taille les tapes n cessaires au paragraphe Installation d un dispositif WriteOnly 2 3 2 3 Options d installation retenues pour le produit Le produit DESIIR ne comporte pas d option d installation 2 3 2 4 Description de l installation et des non conformit s ventuelles Le produit DESIIR s installe conform ment au manuel d installation 2 3 2 5 Dur e de l installation Le produit DESIR s installe en moins d une demi journ e 2 3 2 6 Notes et remarques diverses Sans objet Page 11 sur 18 s cunr Rapport de certification 2 3 3 Analyse de la conformit 2 3 3 1 Analyse de la documentation Les documents constituant le r f rentiel documentaire sont clairs et bien structur s La documentation utilisateur MANUEL du dispositif DESIIR WriteOnly est constitu e des l ments suivants e pr sentation description g n rale et cas d usage e branchement et fonctionnement installation fonctionnement filtrage sur les contenants et contenus e proc dure d utilisation par les utilisateurs par scripts et proc dure d
7. 3 1 Conclusion L valuation t conduite conform ment aux r gles en vigueur avec la comp tence et l impartialit requise pour un centre d valuation agr Ce rapport de certification de s curit de premier niveau atteste que le produit Dispositif d change s curis d informations sans interconnexion r seau DESIIR Version 1 0 soumis l valuation r pond aux caract ristiques de s curit sp cifi es dans sa cible de s curit ST 3 2 Restrictions d usage Dans le respect des hypoth ses d utilisation formul es par le d veloppeur aucune restriction d usage n est identifi e pour le produit Dispositif d change s curis d informations sans interconnexion r seau DESIIR Page 16 sur 18 s cunrr Rapport de certification i Annexe 1 R f rences documentaires du produit valu ST Cible de s curit CSPN DESIIR R f rence CR I2D 2009 049 indice 2 Date 2 mars 2010 MANUEL Documentation utilisateur DESHIR Dispositif en criture uniquement WriteOnly Version DESIIR 1 0 Documentation V1 8 6 RTE Rapport Technique d valuation Certification de S curit de Premier Niveau DESIIR EDF317 RTE CSPN version 1 02 du 23 02 2010 Page 17 sur 18 Rapport de certification Annexe 2 R f rences li es la certification D cret 2002 535 du 18 avril 2002 relatif l valuation et la certification de la s cur
8. B Universal Serial Bus de type B L entr e c t W permet de connecter la zone basse criture uniquement des Page 6 sur 18 s cunrr Rapport de certification informations du r seau bas destination du r seau haut et l entr e c t RW permet de connecter la zone haute lecture et certaines critures des informations contenues dans le bo tier Chacune des entr es est rep r e par une tiquette sp cifique sur le produit La zone haute aussi appel e le r seau haut correspond au niveau de confiance le plus lev et la zone basse aussi appel e le r seau bas est celle qui est potentiellement expos e des malveillances Le produit DESIR fonctionne comme une cl USB et est constitu de trois disques disque DESIR disque d change entre les machines basse et haute disque backup disque de sauvegarde disque debug disque contenant le fichier de journalisation des v nements Les disques DESIIR et backup ont une capacit d environ 1 Go giga octet et le disque debug dispose d environ 128 Mo m ga octet 1 2 Description du produit valu La cible de s curit ST d finit le produit valu ses fonctionnalit s de s curit valu es et son environnement d exploitation 1 2 1 Cat gorie du produit 1 d tection d intrusion pare feu 1 2 2 Identification du produit La version certif
9. ateur puisse juger de l ad quation du produit son besoin en termes d objectifs de s curit La certification ne constitue pas en soi une recommandation du produit par l Agence nationale de la s curit des syst mes d information ANSSI et ne garantit pas que le produit certifi soit totalement exempt de vuln rabilit s exploitables Toute correspondance relative ce rapport doit tre adress e au Secr tariat g n ral de la d fense et de la s curit nationale Agence nationale de la s curit des syst mes d information Centre de certification 51 boulevard de la Tour Maubourg 75700 Paris cedex 07 SP certification anssi ssi gouv fr La reproduction de ce document sans alt ration ni coupure est autoris e Page 2 sur 18 s cuRrT Rapport de certification i R f rence du rapport de certification ANSSI CSPN 2010 03 Nom du produit Dispositif d change s curis d informations sans interconnexion r seau DESIIR R f rence version du produit Version 1 0 Conformit un profil de protection Crit res d valuation et version CERTIFICATION DE SECURITE DE PREMIER NIVEAU CSPN Phase exp rimentale D veloppeur s EDF R amp D D partement SINETICS 1 avenue du G n ral de Gaulle BP408 92141 CLAMART CEDEX France Commanditaire EDF R amp D D partement SINETICS 1 avenue du G n ral de Gaulle BP408 92141 CLAMART CEDEX France
10. cc s physique au produit H INIT Le dispositif DESIIR est enti rement install et configur lors de sa fabrication donc avant sa livraison Les fonctions du produit sont fig es et ne sont plus modifiables par la suite Page 10 sur 18 s cunrr Rapport de certification li H PRECAUTIONS_ EMPLOI Les utilisateurs respectent les pr cautions d emploi d finies dans la documentation utilisateur NON_COLLUSION L utilisateur de la machine haute est consid r de confiance De ce fait l attaquant situ c t machine basse ne peut pas disposer de complice ayant acc s la machine haute 2 3 1 6 Utilisateurs typiques La cible de s curit n identifie que deux types d utilisateurs e Jles utilisateurs du niveau bas e les utilisateurs du niveau haut La notion d administrateur DESIIR n existe pas puisque le produit n est pas configurable Cependant deux autres types d utilisateurs sont identifi s e l administrateur des machines du niveau bas e l administrateur des machines du niveau haut Ces administrateurs ont la charge du param trage voir paragraphe 2 3 2 des machines de leur niveau afin qu elles puissent fonctionner avec le dispositif DESIIR 2 3 2 Installation du produit Le produit DESIIR s installe comme une cl de stockage USB 2 3 2 1 Plate forme de test Le produit DESIIR t test dans un environnement comportant une machine
11. dispositif WriteOnly du manuel utilisateur MANUEL En cas de non respect des r gles de filtrage le produit DESIIR est con u pour ne signaler aucune erreur l utilisateur 2 3 4 Analyse de la r sistance des m canismes et des fonctions 2 3 4 1 Liste des fonctions test es et r sistance Les fonctions test es sont celles cit es au paragraphe 2 3 1 4 2 3 4 2 Avis d expert sur la r sistance des m canismes Les trois fonctions de s curit du produit objet de l valuation cf paragraphe 2 3 1 4 s av rent robustes et n ont pu tre mises en d faut L architecture interne de l appareil renforce la conviction sur le fait que ces fonctions sont efficaces et non contournables On notera que l valuateur n a pas test la pr sence ventuelle de canaux cach s 2 3 5 Analyse des vuln rabilit s conception impl mentation 2 3 5 1 Liste des vuln rabilit s connues Aucune vuln rabilit publique n est recens e sur cette version du produit DESIIR 2 3 5 2 Liste des vuln rabilit s d couvertes lors de l valuation et avis d expert Page 14 sur 18 s cunrr Rapport de certification Les principales vuln rabilit s potentielles concernent des attaques physiques d o l importance de l hypoth se H SEC_PHYSIQUE Le produit est sensible une attaque par nom de fichier mal form qui peut entra ner un reformatage du disque DESIIR et donc un effacement des fichiers pr sents
12. e 2 3 1 4 Fonctions de s curit Les fonctions de s curit suivantes sont identifi es dans la cible de s curit F TRANSFERT _UNIDIR F FILTRAGE_FORMAT PROTECTION_CONFIG_ FILTRAGE Transfert unidirectionnel de donn es depuis la machine basse vers la machine haute et interdiction des transferts de donn es depuis la machine haute vers la machine basse Cette fonction peut tre assimil e une diode Filtrage du format des donn es transf r es transferts de fichiers au format texte ne comportant que des caract res ayant un code ASCII compris entre 0 et 127 avec une longueur de ligne limit e un nombre maximum de caract res Ces fichiers de type texte ont une taille limit e et une extension contr l e Protection contre les tentatives de modification alt ration de la configuration du dispositif via les seules interfaces accessibles du dispositif savoir le c ble USB 2 3 1 5 Hypoth ses sur l utilisation du produit Les hypoth ses suivantes sont identifi es dans la cible de s curit Hypoth ses Descriptions H SEC_PHYSIQUE Le dispositif DESIR doit tre utilis dans un environnement consid r comme physiquement s r local acc s contr l de m me niveau de confiance que la zone haute au niveau du produit et de la machine haute Ainsi le produit ne prend pas en compte de s curit particuli re au niveau de malveillances mat rielles et ou utilisant un a
13. e red marrage e d pannage messages d erreurs syst mes fichier de debug proc dures de d pannage Le document MANUEL contient galement en annexe des scripts en langage Python fournissant des exemples d utilisations automatis es 2 3 3 2 Revue du code source Aucun code source n est disponible pour le produit DESIIR De plus lors de sa fabrication les fonctions du produit sont fig es et ne sont plus modifiables par la suite hypoth se H INIT 2 3 3 3 Fonctions test es Le tableau ci dessous reprend les tests men s lors de l valuation ainsi que les verdicts associ s R ussite Echec ou Non Conclusif Tests Descriptions Verdicts Commentaires Test transfert V rification du transfert R ussite unidirectionnel Test filtrage 1 V rification du filtrage sur des R ussite fichiers de type texte Test filtrage 2 V rification du filtrage sur des R ussite fichiers de type texte avec des extensions non interdites Test filtrage 3 V rification du filtrage sur des R ussite fichiers avec les extensions explicitement interdites Test filtrage 4 V rification du filtrage sur des R ussite fichiers ayant le m me nom mais suffix s diff remment Test filtrage 5 V rification du filtrage sur des R ussite fichiers ayant de longues extensions Test restrictions 1 Test des restrictions sur la cr ation et R ussite modification de r pertoires Test restrictions 2 Premier test des restrict
14. fonctions test es et non test es Le produit DESIIR fonctionne comme un disque dur USB Il permet un change de flux entre deux r seaux diff rents R seau haut L criture sur les disques DESIIR et debug est impossible ainsi que la suppression par exemple la touche Suppr du clavier ne fonctionne pas Un utilisateur haut peut seulement lire et copier sur un disque local les donn es des disques DESIIR et debug Ce m me utilisateur peut galement crire des donn es dans le disque backup disque non accessible au r seau bas R seau bas Seule une copie sur le disque DESIIR est possible ainsi que la suppression du fichier copi Un utilisateur du r seau bas ne peut acc der aux disques backup et debug e sous Windows ils sont vus comme non format s e sous Linux 115 sont d tect s mais ne peuvent tre mont s La d connexion puis la reconnexion du dispositif DESIIR lance une proc dure de backup les fichiers du disque DESIIR sont transf r s sur le disque backup Page 13 sur 18 s cunr Rapport de certification Un filtrage sur les fichiers d pos s sur le dispositif est r alis automatiquement Le filtrage concerne les extensions le contenu ainsi que les noms des fichiers d pos s Pour finir deux proc dures sont aussi accessibles afin de piloter le dispositif DESTIR e la proc dure eraseall qui est initi e en copiant un fichier portant le nom eraseall la racine du d
15. i e du produit est identifiable par les l ments suivants Nom du produit Dispositif d change s curis d informations sans interconnexion r seau DESIIR Version 1 0 1 2 3 Services de s curit Les principaux services de s curit fournis par le produit sont le transfert unidirectionnel bas vers haut Page 7 sur 18 s cunr Rapport de certification le filtrage selon un format pr d fini la protection du format de filtrage pr d fini 1 2 4 Configuration valu e Le certificat porte sur la configuration dite write only disponible au moment de valuation et r f renc e ci dessus Page 8 sur 18 s cunrr Rapport de certification i 2 L valuation 2 1 R f rentiels d valuation L valuation t men e conform ment au r f rentiel Certification de S curit de Premier Niveau en phase exp rimentale Les r f rences des documents se trouvent en annexe 2 2 2 Charge de travail pr vue et dur e de l valuation La charge de travail pr vue lors de la demande de certification tait conforme la charge de travail pr conis e dans CSPN pour un produit ne comportant pas de m canismes cryptographiques soit 25 hommes x jours L valuation s est d roul e au cours du mois de d cembre 2009 2 3 Travaux d valuation Ce paragraphe apporte des compl ments sur la cible de s curit ST fournie en entr e de l valuati
16. ions sur le R ussite nombre maximal de fichiers pouvant tre d pos s Test restrictions 3 Second test des restrictions sur le R ussite nombre maximal de fichiers pouvant tre d pos s Page 12 sur 18 S CURIT Rapport de certification Test restrictions 4 Test des restrictions sur des fichiers Echec dont les noms n utilisent pas les Le dispositif DESIIR ne filtre caract res ASCII pas correctement les noms de fichiers compos s de caract res compris entre les octets 0x80 et OxFF en valeur d cimale entre 128 et 255 Test montage Un utilisateur bas va chercher R ussite acc der aux disques backup et debug Test formatage Un utilisateur bas va chercher R ussite formater les disques backup et debug Test full Test sur la capacit de stockage R ussite Test copie backup Test sur le comportement R ussite impl ment suivant le r pertoire du disque DESIIR Test backup Manipulation de la proc dure backup R ussite Test eraseall Manipulation de la proc dure R ussite eraseall Test debug 1 V rification de la protection de la R ussite configuration du dispositif Test debug 2 V rification des v nements trac s Inconclusive par le dispositif Les diff rentes actions men es ne sont pas toutes trac es cr ation de dossier la racine par exemple 2 3 3 4 Fonctions non test es Toutes les fonctions ont t test es 2 3 3 5 Synth se des
17. isque DESIIR Cela d clenche un effacement de toutes les donn es contenues sur tous les disques donn es des trois disques donn es de debug comprises Cette fonctionnalit n est disponible qu partir du c t ReadWrite RW e la proc dure backup qui est initi e en copiant un fichier portant le nom backup la racine d un des disques de DESIIR d clenche une copie des donn es pr sentes sur le disque DESIIR vers le disque de backup Cette commande est accessible la fois du c t WriteOnly W et du c t ReadWrite RW Toutes les fonctions de s curit du produit ont t test es Les tests ont cependant fait appara tre des incoh rences mineures dans la documentation utilisateur 2 3 3 6 Avis d expert sur le produit Le dispositif DESIIR fonctionne comme une diode et il n a pas t possible de faire transiter de l information du r seau haut vers le r seau bas lors de l valuation L architecture interne de l appareil renforce la conviction sur l efficacit de cette fonctionnalit Il n y aucun moyen de modifier la configuration du dispositif DESIIR car celle ci est fig e en usine afin d viter les erreurs de configuration ou de modification ventuelles La robustesse du produit est ainsi renforc e Les donn es pouvant circuler travers le produit DESIIR doivent tre format es de fa on particuli re comme indiqu au paragraphe Filtrage sur les contenants du
18. it offerte par les produits et les syst mes des technologies de l information CER P 01 Proc dure CSPN CER P 01 Certification de la s curit offerte par les produits et les syst mes des technologies de l information ANSSL disponible sur www ssi gouv fr CSPNI Certification de s curit de premier niveau CSPN des technologies de l information version 2 4 phase exp rimentale n 915 SGDN DCSSI SDR CCN du 25 avril 2008 Crit res pour l valuation de s curit de premier niveau des technologies de l information phase exp rimentale version 1 4 M thodologie d valuation en vue de la CSPN et contenu attendu du RTE phase exp rimentale version 1 3 Documents disponibles sur www ssi gouv fr Page 18 sur 18
19. on Ces pr cisions sont issues du RTE labor par l valuateur suite ses travaux 2 3 1 Fonctionnalit s environnement d utilisation et de s curit 2 3 1 1 Sp cification de besoin du produit Conforme ST 2 3 1 2 Biens sensibles manipul s par le produit Les biens sensibles suivants sont identifi s dans la cible de s curit D MHAUTE Donn es pr sentes sur la machine haute D RESEAU_HAUT Toutes les donn es et machines accessibles par rebond du c t de la machine haute D CONFIG_FILTRAGE Param tres de configuration et de filtrage du dispositif D TRANSFERT Donn es mises disposition de la machine haute par le dispositif DESIIR Page 9 sur 18 Rapport de certification 2 3 1 3 Description des menaces contre lesquelles le produit apporte une protection Les menaces suivantes sont identifi es dans la cible de s curit M INTRUSION_BAS gt HAUT Tentative de prise de contr le de la machine haute depuis la machine basse via le dispositif DESIIR M TRANSFERT _ DONNEES _ ILLICITES_BAS gt HAUT Transfert de donn es non autoris es depuis la machine basse vers la machine haute M MODIF_CONFIG_DESIIR Modification de la configuration du dispositif via les seules interfaces accessibles du dispositif savoir le c ble USB M TRANSFERT _ILLICITE_ HAUT gt BAS Transfert illicite de donn es depuis la machine haute vers la machine bass

Rapport de certification

Contents

Download Pdf Manuals

Related Search

Related Contents