C'est une bonne nouvelle pour les services de cloud computing : La solution logicielle vSphere 4.0 de VMware a été certifiée au niveau EAL4+ selon les critères communs. Cette certification concerne l'ensemble des logiciels de la suite vSphere (ESX 4.0, ESXi4.0 et vCenter Server 4.0).
Ce type de certification, comme les autres d'ailleurs, ne permet de pas de dire que ces logiciels sont sécurisés contre toutes les attaques et qu'ils ne contiennent aucune faille. Il s'agit ici plutôt d'une analyse de leur architecture, de leur mode de conception et de développement qui ont été l'objet d'analyses selon des critères de sécurité pré-établis. Cette nouvelle certification vient s'ajouter à celles déjà obtenues par VMware pour des versions précédentes. Elle s'appliquent à des versions très précises.
Un contrôle technique ponctuel
En faisant le parallèle avec une voiture, celle-ci a passé avec succès le contrôle technique, ce n'est pas pour autant que les freins ne vont pas lâcher après 300 kilomètres, que le conducteur ne va pas s'endormir au volant ou qu'un pneu ne pas éclater. Idem, si un hacker de génie trouve le moyen de détourner le système électronique d'ouverture à distance des portes.
Pour les systèmes informatiques c'est un peu la même chose : Si des mots de passe triviaux sont utilisés ou si les correctifs de sécurité non déployés en temps et en heure, alors la sécurité du système peut être compromise...
Une brique mais pas un système ni un service
Donc oui c'est une bonne nouvelle : La sécurité de l'une des briques essentielles des offres de cloud computing de type IaaS (Infrastructure as a Service) a été évaluée de façon plutôt objective. Reste à utiliser cette brique de la bonne façon pour délivrer un service lui aussi sécurisé. En faisant un autre parallèle, le réseau MPLS d'un opérateur n'est pas forcément sécurisé (ni certifié) même si il utilise des routeurs backbone qui ont été certifiés.
La cible d'évaluation pour en savoir plus
Pour ceux que cela intéresse, ils trouveront plus d'informations sur la cible d'évaluation disponible sur cette page du site du CSTC (Centre de la Sécurité des Télécommunications du Canada). Ce document permet de voir quels composants et fonctionnalités ont été évalués.
Différentiel entre cible d'évaluation et système opérationnel
Oui, il est possible d'écarter ce que l'on souhaite d'une TOE (Target Of Evaluation) : certains acteurs ont parfois tendance à écarter un peu trop de choses de la cible de certification, le système tel qu'utilisé dans le vraie vie ne ressemblant que de façon lointaine à ce qui a été certifié. Il convient donc de rester vigilant et de ne pas tomber dans le panneau du "tampon sécurité" que les sont les certifications.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens