Pour gérer vos consentements :
Categories: Cloud

Windows 2000 certifié mais encore faillible

A l’occasion de la Federal Information Assurance Conference qui s’est tenue à l’Université du Maryland (Etats-Unis) mardi 29 octobre, Craig Mundie, responsable technologies chez Microsoft, a reçu la certification Common Criteria (CC) pour Windows 2000 Server Service Pack 3. Définie par le Common Criteria for Information Technology Security Evaluation (CCISTE), le CC est un standard ISO (ISO-IEC 15408) d’évaluation de la sécurité des produits informatiques. Les tests ont, eux, été effectués par la société indépendante SAIC (Science Applications International Corporation).

Plus précisément, Windows 2000 Server SP3 a reçu le niveau 4 de la certification complété par l’ALC FLR 3 (Systematic Flaw Remediation) délivré par le NIAP (National Information Assurance Partnership), un programme du gouvernement américain consacré à l’évaluation de la sécurité des systèmes informatiques. Le NIAP travaille notamment en collaboration avec le National Institute of Standards and Technology (NIST) et la fameuse National Security Agency (NSA).

Deux ans et demi pour être certifié

Autrement dit, Windows 2000 obtient la confiance officielle du gouvernement américain comme plate-forme informatique. Une confiance dont ne bénéficie pas encore Windows XP, notamment. De là à penser qu’il vaut mieux s’équiper en Windows 2000 plutôt qu’en XP… « Le processus de certification sur Windows 2000 a commencé depuis plus de deux ans et demi », nous répond Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, « il fallait bien commencer par quelque chose (à cette époque Windows XP n’existait pas encore) afin d’obtenir un premier résultat tangible ». D’ailleurs, les processus de certification pour Windows XP et le futur Windows .Net Server 2003, ont été amorcés.

D’autre part, le responsable sécurité nous fait remarquer que « même si l’environnement Windows XP n’a pas obtenu formellement la certification pour l’instant, il est possible de le configurer sur le plan technique dans les mêmes conditions que l’environnement Windows 2000 SP3 certifié ». Hélas, les certifications, aussi prestigieuses soient-elles, n’enlèvent pas les failles qui subsistent dans un système. Et Microsoft lui même vient d’en révéler deux nouvelles propres à Windows 2000, notamment.

De nouvelles failles détectées

La première (référencée Q329834) est propre au protocole PPTP (Point-to-Point Tunneling Protocol), une technologie de réseau privé virtuel (VPN) implémentée dans le RAS (Remote Access Services). La vulnérabilité réside dans le processus de contrôle des données de connexion. Une commande malveillante peut corrompre la mémoire du noyau au risque de faire tomber le réseau. Microsoft a mis en ligne un correctif pour combler cette faille jugée comme critique.

L’autre faille (référence Q327522) est qualifiée de moins dangereuse. Plus qu’une faille, il s’agit d’un défaut de configuration de base de Windows 2000 qui permet l’implémentation d’un intrus de type Cheval de Troie (Trojan) en lieu et place d’un script déjà en place à la racine du disque dur. Il faut donc que le pirate ait connaissance de ce script puisque son troyen devra avoir le même nom de fichier. Pour pallier le problème, Microsoft recommande tout simplement de reparamétrer le système. Comme quoi, certification ou pas, il faut savoir rester vigilant.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago