Pour gérer vos consentements :
Categories: Cloud

Windows 2000 certifié mais encore faillible

A l’occasion de la Federal Information Assurance Conference qui s’est tenue à l’Université du Maryland (Etats-Unis) mardi 29 octobre, Craig Mundie, responsable technologies chez Microsoft, a reçu la certification Common Criteria (CC) pour Windows 2000 Server Service Pack 3. Définie par le Common Criteria for Information Technology Security Evaluation (CCISTE), le CC est un standard ISO (ISO-IEC 15408) d’évaluation de la sécurité des produits informatiques. Les tests ont, eux, été effectués par la société indépendante SAIC (Science Applications International Corporation).

Plus précisément, Windows 2000 Server SP3 a reçu le niveau 4 de la certification complété par l’ALC FLR 3 (Systematic Flaw Remediation) délivré par le NIAP (National Information Assurance Partnership), un programme du gouvernement américain consacré à l’évaluation de la sécurité des systèmes informatiques. Le NIAP travaille notamment en collaboration avec le National Institute of Standards and Technology (NIST) et la fameuse National Security Agency (NSA).

Deux ans et demi pour être certifié

Autrement dit, Windows 2000 obtient la confiance officielle du gouvernement américain comme plate-forme informatique. Une confiance dont ne bénéficie pas encore Windows XP, notamment. De là à penser qu’il vaut mieux s’équiper en Windows 2000 plutôt qu’en XP… « Le processus de certification sur Windows 2000 a commencé depuis plus de deux ans et demi », nous répond Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, « il fallait bien commencer par quelque chose (à cette époque Windows XP n’existait pas encore) afin d’obtenir un premier résultat tangible ». D’ailleurs, les processus de certification pour Windows XP et le futur Windows .Net Server 2003, ont été amorcés.

D’autre part, le responsable sécurité nous fait remarquer que « même si l’environnement Windows XP n’a pas obtenu formellement la certification pour l’instant, il est possible de le configurer sur le plan technique dans les mêmes conditions que l’environnement Windows 2000 SP3 certifié ». Hélas, les certifications, aussi prestigieuses soient-elles, n’enlèvent pas les failles qui subsistent dans un système. Et Microsoft lui même vient d’en révéler deux nouvelles propres à Windows 2000, notamment.

De nouvelles failles détectées

La première (référencée Q329834) est propre au protocole PPTP (Point-to-Point Tunneling Protocol), une technologie de réseau privé virtuel (VPN) implémentée dans le RAS (Remote Access Services). La vulnérabilité réside dans le processus de contrôle des données de connexion. Une commande malveillante peut corrompre la mémoire du noyau au risque de faire tomber le réseau. Microsoft a mis en ligne un correctif pour combler cette faille jugée comme critique.

L’autre faille (référence Q327522) est qualifiée de moins dangereuse. Plus qu’une faille, il s’agit d’un défaut de configuration de base de Windows 2000 qui permet l’implémentation d’un intrus de type Cheval de Troie (Trojan) en lieu et place d’un script déjà en place à la racine du disque dur. Il faut donc que le pirate ait connaissance de ce script puisque son troyen devra avoir le même nom de fichier. Pour pallier le problème, Microsoft recommande tout simplement de reparamétrer le système. Comme quoi, certification ou pas, il faut savoir rester vigilant.

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

3 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

1 mois ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago