Je n’étais pas encore revenu sur cette certification toute récente qui a été abondemment relayée dans la presse.

Suite aux nombreux débats et contre-vérités qui ne sont apparus qu’en France, cette certification devrait appaiser moult débats. Pour rappel certains faits reprochés remontaient à plus de 2 ans d’une part, et d’autre part on a fait l’amalgame entre BlackBerry et les solutions mobiles comme BlackBerry était la seule solution mobile…

Reste ensuite le débat sur les passerelles de RIM situées en Angleterre (pour chez nous). Nous avons des petits paquets qui transitent en AES 256 avec peut être du contenu lui même crypté. Cela évite à l’entreprise d’ouvrir des flux visibles de l’extérieur. Compte tenu que personne ne se pose de question sur les opérateurs téléphoniques, sur la sécurité interne (réseaux gérés par des sociétés externalisées) nombreuses faiblesses dans les systèmes internes (alors que la plupart des vols se font en interne) sans parler de la problématique des matériels portables (pc ou clef usb), sur le reroutage de mail à cause d’absence de solution vers des webmails (le top de la sécurité) : l’acharnement sur BlackBerry semble être une offrande au dieu bouc-émissaire pour ne pas se poser d’autres questions.

La sécurité informatique est toujours en perpétuelle évolution, et la problématique de la mobilité est une vraie problématique à traiter. Sans tomber dans la paranoia ou l’excès.

Pardonnez moi cette digression, le but de cet article était en fait de répondre à la question : au fait que sont ces critères communs et que veut dire cette certification ?

Ce label (Common Criteria Recognition Arrangement (CCRA) ), reconnu par 25 pays dont la France, est basé sur des critères communs d’évaluation de la sécurité des systèmes d’information. Il s’agit d’un standard ayant obtenu la norme ISO/CEI 15408. Le barème est composé de 7 niveaux, de 1 à 4 pour les usages civils, de 5 à 7 pour les usages militaires, le 7 étant le plus fort.

Vous pouvez trouver le tableau d’évaluation de ces critères ici :
[1] http://www.ssi.gouv.fr/fr/confiance/methodologie.html

Le site officiel est le suivant :
[2] http://www.commoncriteriaportal.org/public/expert/index.php?menu=4

La solution BlackBerry (Enterprise Server ainsi que la partie logicielle des terminaux) a donc passé les tests au niveau de ses fonctionnalités et de sa structure (EAL2) pour savoir comment sont organisées les couches de sécurité. Le + indique que la solution a subi des tests d’intrusion. Le code n’a pas été audité mais les protocoles utilisés comme l’AES 256 sont éprouvés et jusqu’à présent non cassés (les modules cryptographiques utilisés sont FIPS-140-2 Federal Information Processing Standard 140)

Au bout de 24 mois de tests RIM a été assez fière d’être la première solution mobile à obtenir ce label, déjà attribué (EAL4+) pour certaines solutions serveurs de Microsoft.

Pour rappel la solution BlackBerry possède également d’autres certifications gouvernementales, cf le Tableau des certifications de RIM (Oct 07) :

[3]