Windows 2000 certifié mais encore faillible

Cloud

Microsoft a reçu la certification Common Criteria pour son système Windows 2000 Server SP3. Une certification validée par le gouvernement américain. Cette procédure, qui a pris près de trois ans, va s’appliquer à Windows XP et .Net Server. En attendant, certifié ou pas, Windows 2000 continue à boucher ses failles.

A l’occasion de la Federal Information Assurance Conference qui s’est tenue à l’Université du Maryland (Etats-Unis) mardi 29 octobre, Craig Mundie, responsable technologies chez Microsoft, a reçu la certification Common Criteria (CC) pour Windows 2000 Server Service Pack 3. Définie par le Common Criteria for Information Technology Security Evaluation (CCISTE), le CC est un standard ISO (ISO-IEC 15408) d’évaluation de la sécurité des produits informatiques. Les tests ont, eux, été effectués par la société indépendante SAIC (Science Applications International Corporation).

Plus précisément, Windows 2000 Server SP3 a reçu le niveau 4 de la certification complété par l’ALC FLR 3 (Systematic Flaw Remediation) délivré par le NIAP (National Information Assurance Partnership), un programme du gouvernement américain consacré à l’évaluation de la sécurité des systèmes informatiques. Le NIAP travaille notamment en collaboration avec le National Institute of Standards and Technology (NIST) et la fameuse National Security Agency (NSA).

Deux ans et demi pour être certifié

Autrement dit, Windows 2000 obtient la confiance officielle du gouvernement américain comme plate-forme informatique. Une confiance dont ne bénéficie pas encore Windows XP, notamment. De là à penser qu’il vaut mieux s’équiper en Windows 2000 plutôt qu’en XP… « Le processus de certification sur Windows 2000 a commencé depuis plus de deux ans et demi », nous répond Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, « il fallait bien commencer par quelque chose (à cette époque Windows XP n’existait pas encore) afin d’obtenir un premier résultat tangible ». D’ailleurs, les processus de certification pour Windows XP et le futur Windows .Net Server 2003, ont été amorcés.

D’autre part, le responsable sécurité nous fait remarquer que « même si l’environnement Windows XP n’a pas obtenu formellement la certification pour l’instant, il est possible de le configurer sur le plan technique dans les mêmes conditions que l’environnement Windows 2000 SP3 certifié ». Hélas, les certifications, aussi prestigieuses soient-elles, n’enlèvent pas les failles qui subsistent dans un système. Et Microsoft lui même vient d’en révéler deux nouvelles propres à Windows 2000, notamment.

De nouvelles failles détectées

La première (référencée Q329834) est propre au protocole PPTP (Point-to-Point Tunneling Protocol), une technologie de réseau privé virtuel (VPN) implémentée dans le RAS (Remote Access Services). La vulnérabilité réside dans le processus de contrôle des données de connexion. Une commande malveillante peut corrompre la mémoire du noyau au risque de faire tomber le réseau. Microsoft a mis en ligne un correctif pour combler cette faille jugée comme critique.

L’autre faille (référence Q327522) est qualifiée de moins dangereuse. Plus qu’une faille, il s’agit d’un défaut de configuration de base de Windows 2000 qui permet l’implémentation d’un intrus de type Cheval de Troie (Trojan) en lieu et place d’un script déjà en place à la racine du disque dur. Il faut donc que le pirate ait connaissance de ce script puisque son troyen devra avoir le même nom de fichier. Pour pallier le problème, Microsoft recommande tout simplement de reparamétrer le système. Comme quoi, certification ou pas, il faut savoir rester vigilant.