mardi 12 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > BlackBerry obtient un label international de sécurité

BlackBerry obtient un label international de sécurité

Christophe Guillemin, ZDNet.fr

mardi 25 septembre 2007, sélectionné par Spyworld

logo

La certification EAL arrive à point nommé pour RIM. La sécurité de sa solution de messagerie mobile BlacBerry Enterprise est l’objet de critiques récurrentes. Un label dont l’importance est toutefois à relativiser selon certains experts.

La plate-forme de messagerie mobile BlackBerry vient de décrocher la certification de sécurité internationale EAL 2+. Un label sur lequel compte capitaliser son fournisseur, le canadien Research in Motion (RIM), afin de redorer son blason.

Critiqués sur leur niveau de sécurité, les terminaux BlackBerry ont notamment été interdits en France dans les services du Premier ministre et ceux de la présidence de la République.

Désormais, RIM peut se prévaloir d’avoir obtenu le « niveau 2 augmenté de l’Assurance de l’évaluation critères communs » ou EAL 2+. Cette certification est basée sur des critères communs d’évaluation de la sécurité des systèmes d’information partagés par vingt-cinq pays, dont la France. Il s’agit d’un standard ayant obtenu la norme ISO/CEI 15408. Son barème est composé de 7 niveaux, le 7 étant le niveau offrant la meilleure sécurité. De 1 à 4, il s’agit de solutions correspondant à des usages civiles ; au-dessus, à des usages militaires.

Des tests d’intrusion et de fonctionnalités

Le niveau EAL 2 signifie que la solution a passé les tests au niveau de ses fonctionnalités et de sa structure, pour voir comment sont organisées les différentes couches de sécurité. Quant au « + », il indique que la solution a subi des tests d’intrusion. En revanche, son code n’a pas été audité pour garantir, par exemple, l’absence de faille ou de porte dérobée.

Concrètement, BlackBerry Enterprise Server et les logiciels pour smartphones BlackBerry ont tous deux obtenu cette accréditation de sécurité internationale. Pour RIM, ce label « atteste de la robustesse des caractéristiques de sécurité de la Solution BlackBerry Enterprise ».

Les experts en sécurité tempèrent le discours de la société canadienne. « Il faut relativiser l’importance de cette certification », commente pour ZDNet.fr, Mathieu Hentzien, du cabinet de sécurité informatique Hervé Schauer Consultants (HSC). « De nombreux éditeurs l’ont obtenu avec des niveaux plus élevés, comme par exemple Microsoft pour Windows Server 2003 SP1, Windows XP SP2, Exchange Server 2003 et ISA Server 2004 qui ont décroché le niveau EAL 4+. »

Selon le cabinet, l’obtention du label EAL 2+ par BlackBerry est susceptible de lui ouvrir les portes de nouvelles entreprises, celles qui requièrent la certification ISO15408 dans leur politique de sécurité.

Il en faudra toutefois un peu plus pour convaincre les services gouvernementaux. « Je ne pense pas que EAL 2+ soit suffisant pour ouvrir les portes de l’Élysée ou Matignon, du moins au yeux de la DCSSI * (organisme interministériel définissant les normes de la sécurité des systèmes d’information de l’État, NDLR) », poursuit Mathieu Hentzien. Contacté par ZDNet.fr, le DCSSI n’a pas répondu à nos appels sur ce dossier.

Rappelons que la principale raison de la mise à l’index par le gouvernement de la plate-forme BlackBerry est que les serveurs d’échanges d’e-mails sont principalement situés aux États-Unis et au Royaume-Uni. Or la certification EAL 2+ ne change rien à cela.

(*) DCSSI, Direction centrale de la sécurité des systèmes d’information, service du Secrétariat général de la défense nationale, rattaché au Premier ministre.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :