• [^] # Re: Une honte

    Posté par . En réponse à la dépêche Tixeo, une solution propriétaire de visioconférence sécurisée sous GNU/Linux. Évalué à 9.

    Pour effectuer la CSPN il est obligatoire que les auditeurs aient accès au code source

    En parlant de source, tu en as une pour cette affirmation ?

    Parce que d’après les propres documents de l’ANSSI, c’est totalement faux.

    • Certification de sécurité de premier niveau des produits des technologies de l’information, ANSSI-CSPN-CER-P-0/1.1 :

    Le déroulement de l’évaluation repose sur :

    • la documentation fournie ;
    • au minimum, les bases publiques de vulnérabilités pour l’analyse du produit par rapport aux vulnérabilités connues pour le type de produit analysé ;
    • le produit lui-même, installé sur une plate-forme de test aussi représentative que possible de son environnement prévu d’utilisation

    Il n’est fait nulle mention du code source dans ce document.

    • Critères pour l’évaluation en vue d’une certification de sécurité de premier niveau, ANSSI-CSPN-CER-I-02/1.1

    4.4 Phase 4 – Analyse de la conformité – revue du code source (si disponible)

    Donc l’évaluateur peut procéder à une revue du code source si l’éditeur du produit le lui fournit, mais ce dernier n’a aucune obligation de le faire.

    Et l’ANSSI n’attend de la revue de code qu’elle ne porte que sur

    la lisibilité et la structuration du code source (exemples de critères : existence de commentaires, découpage en modules, typage des données, portabilité, etc.), en précisant les modules qui ont été regardés.

    Donc, on n’attend de la revue de code (quand elle a lieu) ni qu’elle soit exhaustive (l’évaluateur peut ne regarder qu’une partie des modules), ni qu’elle ne cherche des failles ou des vulnérabilités.