Niveau :      
_Résumé__ : Orange book

Désolé pour les trous dans la raquette, j'ai pas trop publié pendant ces congés.

Des critères de sécurité pour les systèmes d'exploitation ont été définis par le département de la défense américain. Un livre simplement nommé orange book (sa couverture est orange) définit plusieurs niveaux de sécurité ainsi que les critères associés.

Ces niveaux, par ordre croissant de sécurité sont

  • D : tout le monde y a droit
  • C1 , C2 : le système peut être audité et des systèmes de protections ont été mis en place
  • B1 , B2 , B3 : le système utilise des labels pour toutes les vérifications de droits
  • A1 : le système a été conçu dès le premier octet pour respecter la sécurité en utilisant des preuves formelles

Notez que C2 est supérieur à C1 et ainsi de suite.

Aucun système ne pouvant actuellement vérifier mieux que A1 il n'a donc pas été défini de niveau pour cela, mais ce n'est pas exclu. Par contre, il faut noter que la notion de sécurité s'oppose en général à la notion d'utilisabilité (même si ce n'est pas toujours le cas, c'est une forte tendance). C'est pourquoi ceux qui utilisent des systèmes de type A1 ressemblent à Hanibal Lecter et ne lancent pas plus d'une commande par jour.

En pratique la plupart des systèmes se trouvent dans la catégorie C, on estime que linux est de niveau C2, même si aucune preuve n'en a été faite (ça coûte cher de faire certifier un système). SElinux a pour but de fournir un système de catégorie B.

Dans une immense majorité des cas, un système de niveau C2 est suffisant pour l'usage que vous en ferez.

Si vous avez aimé, il y a aussi :

  1. Une faille de sécurité
  2. Les mains dans le noyau
  3. Sécurité du processus de boot
  4. Dans ma bibliothèque
  5. X dans X (Xephyr)