Schéma Français
de la Sécurité des Technologies de l’Information
d’Évaluation et de Certification
SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE
SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
PREMIER MINISTRE
Rapport de certification 2000/10
Plate-forme ST19 (technologie 0.6µ) :
Micro-circuit ST19SF08CExyz
Décembre 2000
Ce document est folioté de 1 à 44 et certificat.
Ce document constitue le rapport de certification du produit " Plate-forme ST19 (technologie
0,6µ) : micro-circuit ST19SF08CExyz".
Ce rapport de certification est disponible sur le site internet du Service Central de la Sécurité des
Systèmes d'Information à l'adresse suivante :
www.scssi.gouv.fr
Toute correspondance relative à ce rapport de certification doit être adressée au :
Secrétariat général de la défense nationale
SCSSI
Centre de Certification de la Sécurité des Technologies de l’Information
51, boulevard de Latour-Maubourg
75700 PARIS 07 SP.
Mél: ssi20@calva.net
© SCSSI, France 2000.
La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée.
Tous les noms des produits ou des services de ce document sont des marques déposées de leur
propriétaire respectif.
Ce produit a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la sécurité des TI
version 2.1 (conforme à la norme ISO 15408) et à la méthodologie commune pour l'évaluation de la sécurité des TI version 1.0.
Ce certificat ne s'applique qu'à la version évaluée du produit dans sa configuration d’évaluation et selon les modalités décrites dans le rapport de
certification associé. L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité
des TI. Les conclusions du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis.
Ce certificat ne constitue pas en soi une recommandation du produit par l'organisme de certification ou par toute autre organisation qui le reconnaît
ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du produit par l'organisme de certification ou par toute autre
organisation qui le reconnaît ou l'utilise.
Schéma Français
d’Évaluation et de Certification
de la Sécurité des Technologies de l’Information
PREMIER MINISTRE
CERTIFICAT 2000/10
Plate-forme ST19 (technologie 0.6µ) :
Micro-circuit ST19SF08CExyz
EAL4 augmenté
conforme au profil de protection PP/9806
Commanditaire : STMicroelectronics SA
Le 21 décembre 2000,
Le Commanditaire : L’Organisme de certification :
Group Vice-President Memory Products Le Directeur chargé de la sécurité
General Manager Smartcard Products Division des systèmes d’information
Mr. M. FELICI Mr. Henri SERRES
Développeur : STMicroelectronics SA
Organisme de Certification
Secrétariat général de la défense nationale
SCSSI
51, boulevard de Latour-Maubourg
75700 PARIS 07 SP.
2
Rapport de certification 2000/10
Décembre 2000 Page 1
Chapitre 1
Introduction
1 Ce document représente le rapport de certification du produit constitué du micro-
circuit ST19SF08CExyz, bâti sur la plate-forme ST19 de STMicrolectronics. Il
consacre le passage de la version ST19SF08B à la version ST19SF08C. Ce
changement de version entre dans la portée du programme de maintenance des
produits de la plate-forme ST19, enregistré sous l’identifiant PM/01 par
l’organisme de certification.
2 Les fonctionnalités évaluées sont consignées en annexe A du présent rapport.
3 Le niveau d’assurance atteint est le niveau EAL 4 augmenté des composants
d’assurance AVA_VLA.4 “Résistance élevée”, ALC_DVS.2 “Caractère suffisant
des mesures de sécurité”, ADV_IMP.2 “Implémentation de la TSF”, ALC_FLR.1
“Correction d’erreurs élémentaire”, AMA_AMP.1 “Plan de maintenance de
l’assurance”, AMA_CAT.1 “Rapport de classification des composants de la TOE”,
AMA_EVD.1 “Éléments de preuve du processus de maintenance”, AMA_SIA.2
“Examen de l’analyse d’impact sur la sécurité” tels que décrits dans la partie 3 des
Critères Communs [3].
4 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit”
enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre
1998 [5].
5 Le profil de protection a fait l’objet d’un rapport de certification PP/9806 [6].
6 Ce produit figure désormais au programme de maintenance PM/01 des composants
certifiés bâtis sur la plate-forme ST19.
1 - Introduction Décembre 2000
Page 2 Décembre 2000
8
Rapport de certification 2000/10
Décembre 2000 Page 3
Chapitre 2
Résumé
2.1 Contexte
7 Ce certificat s’inscrit dans le programme de maintenance de la sécurité de la plate-
forme ST19. Ce programme a pour but de faciliter la conception et la certification
de la sécurité des produits bâtis sur cette plate-forme. Enregistré sous l’identifiant
PM/01, il figure au catalogue des programmes de maintenance acceptés par
l’organisme de certification.
8 La version produit ST19SF08BDxyz de la plate-forme ST19 a fait l’objet d’une
certification initiale en avril 2000 attestée par le certificat 2000/04.
9 En application du programme de maintenance associé à la plate-forme ST19, les
évolutions apportées au produit et à l’environnement de développent du produit, ont
fait l’objet d’analyses d’impact soumises à l’évaluateur. La nature des changements
appliqués au produit ST19SF08B a conduit l’évaluateur à effectuer des travaux de
d’évaluation complémentaires. L’émission du certificat joint au présent rapport
conclut ainsi le premier cycle de maintenance de la version produit ST19SF08.
10 L’évaluation a porté sur le véhicule test ST19SF08CExyz.
11 Les travaux d’évaluation effectués durant ce premier cycle de maintenance ont
coincidé avec l’audit de surveillance réalisé dans le cadre du programme de
maintenance PM/01. Cet audit a permis de valider les exigences spécifiques
associées à ce programme, et a porté essentiellement sur l’organisation et les
procédures mises en place par le développeur dans le cadre de la maintenance de la
plate-forme ST19.
12 Les résultats de certification de la plate-forme et des produits dérivés ainsi que les
documentations d’administration et d’utilisation, serviront de base respectivement
aux commanditaires et développeurs de logiciels d’application pour les produits
qu’ils souhaiteront certifier.
2.2 Description de la cible d’évaluation
13 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte :
- le micro-circuit ST19SF08CExyz et ses logiciels dédiés,
- l’environnement de développement tel que décrit dans le présent rapport.
14 Les développeurs de logiciels d’application (système d’exploitation, application
spécifique, ...) et les utilisateurs de ces applications devront se conformer aux
2 - Résumé Rapport de certification 2000/10
Page 4 Décembre 2000
recommandations recensées, respectivement, dans les guides d’utilisation et
d’administration. Ces logiciels n’ont pas fait l’objet de la présente évaluation et
certification.
2.3 Evolutions apportées
15 Les évolutions apportées par la version produit ST19SF08C représentent
essentiellement la l’intégration de la chaîne de fabrication du site de Rousset, ainsi
que des modifications apportées au code de l’auto-test.
2.4 Résumé des caractéristiques de sécurité
2.4.1 Menaces
16 Les principales menaces identifiées dans la cible de sécurité [8] peuvent être
résumées comme suit :
- modification non autorisée de la conception du circuit et des logiciels
dédiés,
- divulgation non autorisée de la conception du circuit et des logiciels dédiés,
des informations de tests et des outils de développement,
- utilisation abusive du micro-circuit.
17 Les biens à protéger au sein de la cible d'évaluation sont définis comme étant les
données applicatives du micro-circuit, les logiciels dédiés, les données de
spécification et de conception du micro-circuit. Ces biens doivent être protégés en
intégrité et en confidentialité.
2.4.2 Politiques de sécurité organisationnelles et hypothèses
18 L’annexe A donne les principales caractéristiques de sécurité telles qu’elles sont
décrites dans la cible de sécurité [8], en particulier les hypothèses d’utilisation du
produit.
2.4.3 Exigences fonctionnelles de sécurité
19 Les principales fonctionnalités de sécurité du produit décrites dans la cible de
sécurité [7] sont les suivantes :
- authentification des acteurs au cours de la phase de test,
- contrôle d'accès,
- analyse des violations potentielles de sécurité,
Rapport de certification 2000/10 2 - Résumé
Décembre 2000 Page 5
- non-observabilité,
- administration des fonctions de sécurité,
- protection des fonctions de sécurité : notification et résistance aux attaques
physiques.
2.4.4 Exigences d’assurance
20 Les exigences d’assurance spécifiées dans la cible de sécurité [7] sont celles du
niveau d’évaluation EAL4 augmenté des composants d’assurance AVA_VLA.4
“Résistance élevée”, ALC_DVS.2 “Caractère suffisant des mesures de sécurité”,
ADV_IMP.2 “Implémentation de la TSF”, ALC_FLR.1 “Correction d’erreurs
élémentaire”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1
“Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de
preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse
d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3]
2.5 Acteurs dans l’évaluation
21 Le commanditaire de l’évaluation est :
STMicroelectronics SA
ZI de Rousset BP2
F- 13106 Rousset Cedex.
22 La cible d’évaluation a été développée par la même société :
STMicroelectronics SA
ZI de Rousset BP2
F- 13106 Rousset Cedex.
23 La société Dupont a également participé au développement de la cible d'évaluation
en tant que développeur et fabricant des réticules servant à la fabrication du
ST19SF08CExyz :
Dupont Photomasks
ZI de Rousset
F- 13106 Rousset Cedex.
24 Les sites de production des produits bâtis sur la plate-forme ST19 sont les suivants :
- en France,
STMicroelectronics
ZI de Rousset BP2
F- 13106 Rousset Cedex
2 - Résumé Rapport de certification 2000/10
Page 6 Décembre 2000
- en Italie,
STMicroelectronics
Via C. Olivetti 2
I- 20041 Agrate Brianza
Le micro-circuit ST19SF08CExyz qui a fait l’objet de cette certification, est
fabriqué à Agrate et à Rousset.
2.6 Contexte de l’évaluation
25 L’évaluation a été menée conformément aux Critères Communs ([1] à [3]) et à la
méthodologie définie dans le manuel CEM [4].
26 L’évaluation s’est déroulée dans le cadre du programme de maintenance associé à
la plate-forme ST19 qui est enregistré sous l’identifiant PM/01 par l’organisme de
certification.
27 L’évaluation a été conduite par le centre d’évaluation de la sécurité des
technologies de l’information de Serma Technologies :
- Serma Technologies
30, avenue Gustavel Eiffel
F- 33608 Pessac Cedex.
2.7 Conclusions de l'évaluation
28 Le produit soumis évaluation dont la cible de sécurité [7] est partiellement reprise
dans l’annexe A du présent rapport, satisfait aux exigences du niveau d’évaluation
EAL 4 augmenté des composants d’assurance AVA_VLA.4 “Résistance élevée”,
ALC_DVS.2 “Caractère suffisant des mesures de sécurité”, ADV_IMP.2
“Implémentation de la TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”,
AMA_CAT.1 “Rapport de classification des composants de la TOE”,
AMA_EVD.1 “Eléments de preuve du processus de maintenance”, AMA_SIA.2
“Examen de l’analyse d’impact sur la sécurité”. Il est conforme aux exigences du
profil de protection PP/9806 [5]. Par ailleurs, la résistance des fonctions de sécurité
est cotée au niveau élevée (SOF-high).
29 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par
la quantité d’informations disponibles pour le niveau EAL4 et par la compétence,
l’opportunité et les ressources correspondant à un potentiel d’attaques élevé tel
qu’il est spécifié par le composant d’assurance AVA_VLA.4.
30 Les vulnérabilités connues du commanditaire de l’évaluation ont été toutes
communiquées aux évaluateurs et au certificateur conformément au critère
[AVA_VLA.4.4E].
Rapport de certification 2000/10 2 - Résumé
Décembre 2000 Page 7
31 L'utilisation de la cible d'évaluation de manière sûre est soumise aux
recommandations figurant au chapitre 6 du présent rapport.
2 - Résumé Rapport de certification 2000/10
Page 8 Décembre 2000
10
Rapport de certification 2000/10
Décembre 2000 Page 9
Chapitre 3
Identification de la cible d’évaluation
3.1 Objet
32 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte :
- le micro-circuit ST19SF08CExyz et ses logiciels dédiés,
- l’environnement de développement tel que décrit dans le présent rapport.
33 Ce micro-circuit est destiné à recevoir les logiciels fournis par le développeur
d’applications, masqués dans la mémoire programme (ROM) au cours de la
fabrication du micro-circuit. Ces logiciels applicatifs (le système d’exploitation de
la carte ainsi que les applications éventuelles) ne font pas partie de l’évaluation. Le
micro-circuit est ensuite inséré dans une carte porteur de format carte de crédit ou
tout autre support. Par ailleurs, les phases d’encartage et de personnalisation de la
cible d’évaluation sont hors du champ de l’évaluation.
34 Le micro-circuit électronique contient des logiciels dédiés développés par
STMicroelectronics à des fins de tests du circuit.
3.2 Historique du développement
35 Le composant ST19SF08CExyz a été développé et testé par STMicroelectronics sur
le site de Rousset. La production des micro-circuits est effectuée sur les sites
d’Agrate (Italie) et de Rousset (France).
3.3 Description du matériel
36 Le micro-circuit électronique ST19SF08CExyz est un micro contrôleur 8 bits, bâti
sur la plate-forme ST19.
37 Il dispose de différents mécanismes de sécurité participant à la réalisation des
fonctions dédiées à la sécurité pour lesquelles l'évaluation a été demandée.
3.4 Description du logiciel
38 La cible d’évaluation contient également les logiciels dédiés développés par
STMicroelectronics ; ces logiciels contiennent des fonctionnalités de tests actives
pendant la phase de test du micro-circuit. A l’issue de cette phase, ils ne sont plus
accessibles.
3 - Identification de la cible d’évaluation Rapport de certification 2000/10
Page 10 Décembre 2000
12
Rapport de certification 2000/10
Décembre 2000 Page 11
Chapitre 4
Caractéristiques de sécurité
4.1 Préambule
39 Les caractéristiques de sécurité évaluées sont consignées dans la cible de sécurité
[7] qui est la référence pour l’évaluation.
40 Les paragraphes ci-après reformulent les éléments essentiels de ces
caractéristiques.
4.2 Politique de sécurité
41 La politique de sécurité de la cible d’évaluation dont le modèle figure dans la
documentation disponible au titre des critères ADV_SPM repose principalement
sur :
- le contrôle d’accès aux informations sensibles stockées par le micro-circuit,
- l’irréversibilité des phases de vie du micro-circuit (passage irréversible de
la configuration de tests à la configuration d’utilisation),
- la détection des violations potentielles de sécurité.
4.3 Menaces
42 Les menaces effectivement couvertes par le produit sont décrites dans le chapitre 3
de la cible de sécurité [7]. Elles sont reprises en annexe A.1.
4.4 Hypothèses d’utilisation et d’environnement
43 La cible d’évaluation doit être utilisée et administrée conformément aux exigences
spécifiées dans la documentation d’utilisation et d’administration, et notamment
dans le document Security Application Manual [9].
44 Les hypothèses d’utilisation et d’environnement du produit sont consignées dans le
chapitre 3 de la cible de sécurité [7]. Celles-ci sont reprises en annexe A.2.
4.5 Architecture du produit
45 L’architecture du produit est décrite dans les documents de conception générale et
détaillée exigibles pour les familles d’assurance ADV_HLD et ADV_LLD.
4 - Caractéristiques de sécurité Rapport de certification 2000/10
Page 12 Décembre 2000
46 Le micro-circuit électronique ST19SF08 est un micro contrôleur bâti sur la plate-
forme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de
travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM),
et d'une mémoire non volatile de 8Koctets (EEPROM). Il dispose également de
différents composants de sécurité, d’une logique de matrice de contrôle d’accès,
d’un générateur d’horloge ainsi que d’un générateur de nombres non-prédictibles.
Ce dernier ne fait pas l’objet de cette évaluation.
Tab. 4.1 - Modèle d’architecture du micro-circuit ST19SF08
4.6 Description de la documentation
47 La documentation disponible pour l’évaluation est décrite en annexe B du présent
rapport de certification.
4.7 Configuration évaluée
48 La configuration de test de la cible d’évaluation est décrite en annexe B.
CPU Mémoires
volatiles
Mémoires
non vola-
tiles
Composants
de sécurité
Ports
d’I/O
22
Rapport de certification 2000/10
Décembre 2000 Page 13
Chapitre 5
Résultats de l’évaluation
5.1 Rapport Technique d’Évaluation
49 Les résultats de l’évaluation sont exposés dans le rapport technique
d’évaluation [8].
5.2 Résultats de l’évaluation du produit
50 Le produit répond aux exigences des critères communs pour le niveau EAL4
augmenté des composants AVA_VLA.4 “Résistance élevée”, ALC_DVS.2
“Caractère suffisant des mesures de sécurité”, ADV_IMP.2 “Implémentation de la
TSF”, AMA_AMP.1 “Plan de maintenance de l’assurance”, AMA_CAT.1
“Rapport de classification des composants de la TOE”, AMA_EVD.1 “Eléments de
preuve du processus de maintenance”, AMA_SIA.2 “Examen de l’analyse
d’impact sur la sécurité” tels que décrits dans la partie 3 des Critères Communs [3].
51 Les paragraphes suivants énumèrent les composants d’assurance pour lesquels des
travaux complémentaires étaient exigibles au vu des analyses d’impact fournies par
le commanditaire. Pour chacun d’eux l’évaluateur, a dû se prononcer sur le
maintien des verdicts en effectuant lorsque cela était nécessaire des travaux
d’évaluation complémentaires.
5.2.1 ASE : Evaluation de la cible de sécurité
52 L’évaluateur a examiné les changements apportés à la cible publique qui
accompagne le rapport de certification. L’évaluateur a confirmé que la cible
représente une version générique mais fidèle de la cible non publique qui en
revanche reste inchangée par rapport à l’évaluation initiale.
5.2.2 ADV_FSP.2 : Spécifications fonctionnelles, définition exhaustive des
interfaces externes
53 Les critères d’évaluation sont définis par les sections ADV_FSP.2.iE de la classe
ADV, telle que définie dans la partie 3 des Critères Communs [3].
54 L’évaluateur a examiné l’évolution des spécifications et a montré que les
corrections apportées n’avaient aucun impact sur les fonctionnalités de sécurité du
produit, confirmant ainsi l’analyse du commanditaire. Les verdicts associés à ces
critères ont pu être maintenus sans nécessiter de travaux d’évaluation
complémentaires.
5 - Résultats de l’évaluation Rapport de certification 2000/10
Page 14 Décembre 2000
5.2.3 ADV_HLD.2 : Conception générale de sécurité
55 Les critères d’évaluation sont définis par les sections ADV_HLD.2.iE de la classe
ADV, telle que définie dans la partie 3 des Critères Communs [3].
56 L’évaluateur a montré que les corrections apportées aux spécifications
fonctionnelles, lorsqu’elles sont répercutées dans le document de conception
générale, n’ont pas d’impact sur l’architecture de sécurité du produit, confirmant
ainsi l’analyse du commanditaire.
57 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.4 ADV_LLD.1 : Conception détaillée descriptive
58 Les critères d’évaluation sont définis par les sections ADV_LLD.1.iE de la classe
ADV, telle que définie dans la partie 3 des Critères Communs [3].
59 La conception détaillée de la plate-forme matérielle n’ayant subi aucune évolution,
les verdicts qui lui sont associés ont pu être maintenus.
60 L’évaluateur a montré que les changements apportés à la conception détaillée du
logiciel dédié n’affectaient ni la décomposition modulaire, ni les interfaces
externes, ni les interfaces internes du produit, confirmant ainsi l’analyse d’impact
du commanditaire.
61 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.5 ADV_IMP.2 : Implémentation de la TSF
62 Les critères d’évaluation sont définis par les sections ADV_IMP.2.iE de la classe
ADV, telle que définie dans la partie 3 des Critères Communs [3].
63 Les évolutions apportées aux schémas descriptifs du micro-circuit en production
sur le site de Rousset ainsi qu’au code source du logiciel dédié, ont été documentées
avec le niveau de détail requis pour le niveau considéré. L’évaluateur a montré que
ces évolutions n’avaient pas d’incidence quant au fait que la réalisation demeure
une représentation correcte et complète des fonctions de la cible de sécurité. Il a
montré de plus que ces changements n’induisaient pas de vulnérabilités
potentielles, confirmant ainsi l’analyse du commanditaire.
64 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.6 ACM_AUT.1 : Automatisation partielle de la CM
65 Les critères d’évaluation sont définis par la section ACM_AUT.1.1E de la classe
ACM, telle que spécifiée dans la partie 3 des Critères Communs [3].
Rapport de certification 2000/10 5 - Résultats de l’évaluation
Décembre 2000 Page 15
66 Le déploiement du système de gestion de configuration sur le site de Rousset a
conduit l’évaluateur à réaliser des travaux complémentaires.
67 Il a pu vérifier lors de sa visite sur le site de Rousset la généralisation de
l’application de l’outil de gestion de configuration, en accord avec les procédures
du développeur.
5.2.7 ACM_CAP.4 : Aide à la génération et procédures de réception
68 Les critères d’évaluation sont définis par la section ACM_CAP.4.iE de la classe
ACM, telle que spécifiée dans la partie 3 des Critères Communs [3].
69 Le système de gestion de configuration impose un contrôle des objets produits au
cours du développement chez le développeur du micro-circuit. Des procédures
permettent de prendre en compte dans le système de gestion de configuration les
objets composant la cible d'évaluation (procédure de réception). Des procédures
gèrent également les révisions majeures et mineures de la cible d'évaluation. Pour
le fondeur, la gestion de configuration passe par un système de suivi de toutes les
modifications des niveaux de masque du produit. Le système de gestion de
configuration énumère tous les composants élémentaires à partir desquels la cible
d'évaluation a été construite.
70 L'appellation commerciale de la cible d'évaluation (ST19SF08CExyz) identifie les
modifications majeures de ses constituants matériel ou logiciel, à l’exception
toutefois du jeu de masques utilisé qui diffère entre les deux sites de production.
71 Un système de gestion de configuration s'applique également chez le fabricant de
réticules Dupont Photomasks.
72 Ces systèmes et les procédures associées n’ont pas évolué depuis la certification
initiale.
73 L’évaluateur a vérifié la cohérence de la liste de configuration fournies pour les
micro-circuits produits à Agrate et à Rousset.
5.2.8 ADO_DEL.2 : Détections de modification
74 Les critères d’évaluation sont définis par la section ADO_DEL.2.iE de la classe
ADO, telle que spécifiée dans la partie 3 des Critères Communs [3].
75 Les procédures de livraison du produit n’ont pas subi d’évolution. L’application
continue de celles-ci depuis la certification initiale a été contrôlée au cours de la
visite sur le site de production de Rousset.
76 Les verdicts associés à ces critères ont pu être maintenus suite à cette visite de
contrôle.
5 - Résultats de l’évaluation Rapport de certification 2000/10
Page 16 Décembre 2000
5.2.9 AGD_ADM.1 : Guide de l’administrateur
77 Les critères d’évaluation sont définis par la section AGD_ADM.1.1E de la classe
AGD, telle que spécifiée dans la partie 3 des Critères Communs [3].
78 Le développeur a fourni une nouvelle version de la documentation d’administration
des fonctions de sécurité du produit, plus particulièrement des guides “Autotest
Manual” et “Security Application Manual”[9]. Ces guides d’administration sont à
usage :
- des développeurs de logiciels (Programming manual, Datasheet, User
Manual, Security Application Manual) installés sur le micro-circuit qui
administrent les fonctions de sécurité offertes par le micro-circuit
électronique. En particulier, il contient un ensemble de recommandations
sur le développement des logiciels applicatifs et sur l’utilisation sûre des
fonctions de sécurité du micro-circuit.
- interne à STMicroelectronics,
- des fabricants et personnalisateurs (Datasheet, User Manual- Issuer, Die
Description, Security Application Manual).
79 L’évaluateur s’est assuré que les changements apportés n’induisaient pas
d’incohérence dans cette documentation et a vérifié que ces procédures
permettaient une administration sûre du produit.
5.2.10 AGD_USR.1 : Guide de l’utilisateur
80 Les critères d’évaluation sont définis par la section AGD_USR.1.1E de la classe
AGD, telle que spécifiée dans la partie 3 des Critères Communs [3].
81 Le développeur a fourni une nouvelle versions de la documentation d’utilisation des
fonctions de sécurité du produit, plus particulièrement des guides “Autotest
Manual” et “Security Application Manual”[9]. Ces guides d’utilisation sont à usage
:
- des développeurs de logiciels (Programming manual, Datasheet, User
Manual- User, Security Application Manual) installés sur le micro-circuit
qui administrent les fonctions de sécurité offertes par le micro-circuit
électronique. En particulier, il contient un ensemble de recommandations
sur le développement des logiciels applicatifs et sur l’utilisation sûre des
fonctions de sécurité du micro-circuit.
- des fabricants et personnalisateurs (Datasheet).
82 L’évaluateur s’est assuré que cette documentation correspondait toujours à une
utilisation sûre du produit.
Rapport de certification 2000/10 5 - Résultats de l’évaluation
Décembre 2000 Page 17
5.2.11 ALC_DVS.2 : Caractère suffisant des mesures de sécurité
83 Les critères d’évaluation sont définis par la section ALC_DVS.2.iE de la classe
ALC, telle que spécifiée dans la partie 3 des Critères Communs [3].
84 L’intégration du site de production de wafers de Rousset (“Fab 6 pouces”) à
l’environnement de développement constitue l’évolution majeure par rapport à la
certification initiale.
85 L’évaluateur a analysé la sécurité de la production au cours du processus de
fabrication du micro-circuit du site de Rousset. Une visite de contrôle a permis
également de confirmer le maintien du niveau de sécurité, et les améliorations
apportées au site de production d’Agrate.
5.2.12 ALC_FLR.1 : Correction d’erreurs élémentaire
86 Les critères d’évaluation sont définis par la section ALC_FL.1.1E de la classe ALC,
telle que spécifiée dans la partie 3 des Critères Communs [3].
87 Ce critère n’a pas été évalué dans le cadre de la certification initiale dans la mesure
où la mise en place de l’organisation et des procédures relatives à la maintenance
n’était pas encore stabilisée.
88 Le processus de traitement, et de correction des erreurs ainsi que les responsabilités
associées ont été clairement formalisés par le commanditaire. L’évaluateur a pu en
vérifier l’application effective, en accord avec les procédures du développeur.
89 Le commanditaire a soumis une demande d’interprétation à l’organisme de
certification concernant l’exigence ALC_FLR.1.4.C. Cette interprétation a été
acceptée puis enregistrée par ce dernier dans le catalogue national des
interprétations.
5.2.13 ATE_FUN.1 : Tests fonctionnels
90 Les critères d’évaluation sont définis par la section ATE_FUN.1.iE de la classe
ATE, telle que spécifiée dans la partie 3 des Critères Communs [3].
91 Les tests réalisés par le développeur correspondent à un ensemble de tests matériels
des fonctions de sécurité du micro-circuit, produits au cours de la caractérisation du
micro-circuit et de sa production. En effet, deux types de tests sont réalisés sur le
micro-circuit :
- des tests de l’ensemble des fonctionnalités de sécurité du micro-circuit au
cours d’une phase dite de caractérisation du circuit, préalable à la mise en
production des échantillons,
- des test de production effectués sur chaque micro-circuit à l’issue de sa
fabrication, couvrant un sous-ensemble des fonctions de sécurité du produit.
5 - Résultats de l’évaluation Rapport de certification 2000/10
Page 18 Décembre 2000
92 L’évaluateur a vérifié que les évolutions présentées par le logiciel de l’autotest ainsi
que les changements mineurs apportées aux tests de production, n’affectaient en
rien la documentation de tests fournie lors de l’évaluation initiale. L’évaluateur
s’est assuré du maintien de la complétude de cette documentation.
93 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.14 ATE_COV.2 : Analyse de la couverture
94 Les critères d’évaluation sont définis par la section ATE_COV.2.iE de la classe
ATE, telle que spécifiée dans la partie 3 des Critères Communs [3].
95 L’évaluateur a vérifié que la couverture de la spécification des fonctions de sécurité
par les tests de caractérisation et de production n’était pas affectée par rapport à
l’évaluation initiale, confirmant ainsi l’analyse d’impact du développeur.
96 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.15 ATE_DPT.1 : Tests : conception générale
97 Les critères d’évaluation sont définis par la section ATE_DPT.1.iE de la classe
ATE, telle que spécifiée dans la partie 3 des Critères Communs [3].
98 Le développeur a fourni une analyse de la documentation de tests justifiant la
complétude des tests vis-à-vis de la conception générale du micro-circuit.
99 L’évaluateur a vérifié que la complétude des tests vis-à-vis de la conception
générale du micro-circuit n’était pas affectée par rapport à l’évaluation initiale,
confirmant ainsi l’analyse d’impact du développeur.
100 Les verdicts associés à ces critères ont pu être maintenus sans nécessiter de travaux
d’évaluation complémentaires.
5.2.16 ATE_IND.2 Tests effectués de manière indépendante - échantillonnage
101 Les critères d’évaluation sont définis par les sections ATE_IND.2.iE de la classe
ATE, telle que spécifiée dans la partie 3 des Critères Communs [3].
102 Les évaluateurs ont rejoué un ensemble de tests sur le micro-circuit. Ils ont procédé
à un échantillonnage des programmes de tests chez le développeur du micro-circuit
électronique sur le site de Rousset où l’ensemble des tests de production sont
réalisés. La procédure d'échantillonnage retenue a consisté d’une part, à se focaliser
sur la mise à jour de l’auto-test, et d’autre part à répartir les tests entre les versions
produit ST19SF02, ST19SF04, et ST19SFSF16. Dans la mesure où ces produits
présentent des fonctionnalités identiques au produit ST19SF08, qu’ils sont conçus
et produits de manière identique suivant les même procédés, et qu’ils ne diffèrent
que par la taille de l’EEPROM, cette procédure a été jugée conforme aux exigences
du niveau d'évaluation EAL4.
Rapport de certification 2000/10 5 - Résultats de l’évaluation
Décembre 2000 Page 19
103 Aucun test complémentaires n’a été effectué par les évaluateurs en raison des
évolutions mineures apportées à la fois au produit et au programmes de tests.
5.2.17 AVA_MSU.2 : Validation de l’analyse
104 Les critères d’évaluation sont définis par la section AVA_MSU.2.iE de la classe
AVA, telle que spécifiée dans la partie 3 des Critères Communs [3].
105 Le développeur a fourni une une nouvelle version du guides “Security Application
Manual”[10]. L’évaluateur a procédé à la réévaluation du guide, en s’assurant de la
validité des recommandations formulées à l’adresse des utilisateurs pour une
exploitation sûre de la plate-forme. Les évaluateurs ont réalisé des tests
complémentaires afin de confirmer les résultats de cette analyse.
5.2.18 AVA_VLA.4 : Résistance élevée
106 Les critères d’évaluation sont définis par les sections AVA_VLA.4.iE de la classe
AVA, telle que spécifiée dans la partie 3 des Critères Communs [3].
107 L’évaluateur a réalisé sa propre analyse de vulnérabilités afin de s’assurer que les
changements opérés sur le produit n’induisaient pas de vulnérabilité potentielle.
108 L’évaluateur a complété l’analyse précédente par la réalisation tests de pénétration
nouvellement spécifiés afin de pouvoir vérifier que le produit résiste aux attaques
correspondant à un potentiel de l’attaquant tel que défini par le composant
AVA_VLA.4 “Résistance élevée”. Ces tests représentent la somme des travaux de
recherche fournie par l’évaluateur depuis l’évaluation initiale dans le cadre de sa
veille technologique.
5.3 Résultats de l’évaluation du programme de maintenance associé
109 Le produit a été évalué dans le cadre du programme de maintenance associé à la
plate-forme ST19, enregistré sous l’identifiant PM/01 par l’organisme de
certification. Ce programme répond aux exigences des Critères Communs définies
par les composants AMA_AMP.1 “Plan de maintenance de l’assurance”,
AMA_CAT.1 “Rapport de classification de composants de la TOE”, AMA_SIA..2
“Examen de l’analyse d’impact sur la sécurité” et AMA_EVD.1 “Éléments de
preuve du processus de maintenance”tel que décrits dans la partie 3 des Critères
Communs [3].
110 L’évaluation des exigences associées au programme de maintenance s’est déroulée
simultanément à l’évaluation du produit.
5.3.1 AMA_AMP.1 : Plan de maintenance de l’assurance
111 Les critères d’évaluation sont définis par les sections AMA_AMP.1.iE de la classe
AMA, telle que spécifiée dans la partie 3 des Critères Communs [3].
5 - Résultats de l’évaluation Rapport de certification 2000/10
Page 20 Décembre 2000
112 Le développeur a fourni une nouvelle version du plan de maintenance décrivant la
cible d’évaluation et les caractéristiques de sécurité correspondant au microcicuit
ST19SF08BDxyz référencé par sa liste de configuration. Le plan de maintenance
met à jour la nature et la portée des évolutions prévues du produit, les rôles et
responsabilités, les procédures que le développeur a mis en oeuvre afin de garantir
que l’assurance qui a été établie pour le produit certifié est maintenue, alors que des
changements sont effectués sur le produit ou son environnement de développement/
production.
113 Le cycle de maintenance proposé, consistant à informer périodiquement
l’évaluateur à échéance de trois mois des évolutions du produit ou de son
environnement, a été jugé satisfaisant par l’organisme de certification. Les travaux
d’évaluation notifiés dans le présent rapport de certification correspondent bien aux
évolutions planifiées dans le plan de maintenance.
5.3.2 AMA_CAT.1 : Rapport de classification de composants de la TOE
114 Les critères d’évaluation sont définis par les sections AMA_CAT.1.iE de la classe
AMA, telle que spécifiée dans la partie 3 des Critères Communs [3].
115 L’évaluateur a vérifié que la classification des composants de la TOE et des outils,
ainsi que le schéma de classification utilisé, sont appropriés et cohérents avec les
résultats d’évaluation de la version certifiée.
5.3.3 AMA_SIA.2 : Examen de l’analyse d’impact sur la sécurité
116 Les critères d’évaluation sont définis par les sections AMA_SIA.2.iE de la classe
AMA, telle que spécifiée dans la partie 3 des Critères Communs [3].
117 L’évaluateur a vérifié que les analyses d’impact sur la sécurité que le développpeur
lui a transmis documente toutes les modifications à un niveau de détail approprié,
avec les justifications appropriées que l’assurance a été maintenue dans la version
courante de la TOE.
5.3.4 AMA_EVD.1 : Éléments de preuve du processus de maintenance
118 Les critères d’évaluation sont définis par les sections AMA_EVD.1.iE de la classe
AMA, telle que spécifiée dans la partie 3 des Critères Communs [3].
119 Lors de l’audit de surveillance du programme de maintenance PM/01, l’évaluateur
a confirmé que les procédures décrites dans le plan de maintenance étaient
effectivement appliquées. L’évaluateur a en particulier vérifié l’application des
procédures relatives à la gestion de configuration, les éléments de preuve relatifs à
la maintenance de l’assurance, la réalisation de l’analyse d’impact sur la sécurité et
la correction d’erreurs.
Rapport de certification 2000/10 5 - Résultats de l’évaluation
Décembre 2000 Page 21
5.4 Verdicts
120 Pour tous les aspects des critères communs identifiés ci-dessus, un avis “réussite”
a été émis.
5 - Résultats de l’évaluation Rapport de certification 2000/10
Page 22 Décembre 2000
24
Rapport de certification 2000/10
Décembre 2000 Page 23
Chapitre 6
Recommandations d’utilisation
121 La cible d’évaluation “ST19SF08CExyz”, bâtie sur la plate-forme ST19, est
soumise aux recommandations d’utilisation exprimées ci-dessous. Le respect de ces
recommandations conditionne la validité du certificat.
122 Le produit doit être utilisé conformément à l’environnement d’utilisation prévu
dans la cible de sécurité [7].
123 Le produit doit être développé et utilisé conformément aux recommandations
d’utilisation exprimées dans le document “Security Application Manual” [9]. Cette
documentation contient des informations confidentielles et est disponible, de
manière contrôlée, sur demande auprès de la société STMicroelectronics, Division
Smartcard.
6 - Recommandations d’utilisation Rapport de certification 2000/10
Page 24 Décembre 2000
26
Rapport de certification 2000/10
Décembre 2000 Page 25
Chapitre 7
Certification
7.1 Objet
124 Le produit dont les caractéristiques de sécurité sont définies dans la cible de sécurité
[7], satisfait aux exigences du niveau d’évaluation EAL4 augmenté des
composants d’assurance suivants décrits dans la partie 3 des Critères Communs [3]
:
- AVA_VLA.4 “Résistance élevée”,
- ALC_DVS.2 “Caractère suffisant des mesures de sécurité”,
- ADV_IMP.2 “Implémentation de la TSF”,
- ALC_FLR.1 “Correction d’erreurs élémentaire”,
- AMA_AMP.1 “Plan de maintenance de l’assurance”,
- AMA_CAT.1 “Rapport de classification des composants de la TOE”,
- AMA_EVD.1 “Eléments de preuve du processus de maintenance”,
- AMA_SIA.2 “Examen de l’analyse d’impact sur la sécurité”.
125 Ce produit est conforme au profil de protection “Smartcard Integrated Circuit”
enregistré auprès du SCSSI sous la référence PP/9806, version 2.0 de Septembre
1998 [5].
126 La recherche de vulnérabilités exploitables au cours de l’évaluation a été définie par
la quantité d’informations disponibles pour le niveau EAL4 et par la compétence,
l’opportunité et les ressources correspondant à un potentiel d’attaques élevé
tel qu’il est spécifié par le composant d’assurance AVA_VLA.4.
7.2 Portée de la certification
127 La certification ne constitue pas en soi une recommandation du produit. Elle ne
garantit pas que le produit certifié est totalement exempt de vulnérabilités
exploitables : il existe une probabilité résiduelle que des vulnérabilités exploitables
n’aient pas été découvertes.
128 Le certificat ne s’applique qu’à la version évaluée du produit, telle qu’elle est
définie en annexe B de ce rapport.
7 - Certification Rapport de certification 2000/10
Page 26 Décembre 2000
36
Rapport de certification 2000/10
Décembre 2000 Page 27
Annexe A
Caractéristiques de sécurité
129 Les caractéritiques de sécurité évaluées sont décrites dans la cible de sécurité [7]
qui est la référence pour l’évaluation. Compte-tenu du caractère confidentiel de la
cible de sécurité, un résumé public de la cible de sécurité a été rédigé [10], et joint
au présent rapport de certification.
130 La cible de sécurité étant rédigée en langue anglaise, les paragraphes ci-après sont
une traduction française des hypothèses, des menaces ainsi que des objectifs et des
exigences de sécurité.
A - Caractéristiques de sécurité Rapport de certification 2000/10
Page 28 Décembre 2000
A.1 Menaces
131 Le cycle de vie du produit est constitué des phases suivantes :
- phase 1 : développement des logiciels embarqués (systèmes d’exploitation,
logiciels applicatifs),
- phase 2 : développement du micro-circuit et des logiciels dédiés,
- phase 3 : production du micro-circuit,
- phase 4 : mise en micro-modules (ateliers de micro-électronique),
- phase 5 : encartage,
- phase 6 : personnalisation,
- phase 7 : utilisation du produit final.
A.1.1 Clonage
A.1.2 Menaces sur la phase 1 (Développement des logiciels embarqués)
T.CLON Clonage fonctionnel de la cible d’évaluation.
T.DIS_INFO Divulgation non autorisée des biens délivrés par le
concepteur du circuit au développeur des logiciels
embarqués.
T.DIS_DEL Divulgation non autorisée des logiciels embarqués
pendant la phase de livraison au concepteur du circuit.
T.MOD_DEL Modification non autorisée des logiciels embarqués
pendant la phase de livraison au concepteur du circuit.
T.T_DEL Vol des logiciels embarqués pendant la phase de livraison
au concepteur du circuit.
Rapport de certification 2000/10 A - Caractéristiques de sécurité
Décembre 2000 Page 29
A.1.3 Divulgation non autorisée au cours des phases 2 à 7
A.1.4 Vol ou utilisation abusive au cours des phases 2 à 7
A.1.5 Modification non autorisée au cours des phases 2 à 7
T.DIS_DESIGN Divulgation non autorisée de la conception du circuit.
T.DIS_SOFT Divulgation non autorisée des logiciels embarqués
T.DIS_DSOFT Divulgation non autorisée des logiciels de tests dédiés.
T.DIS_TEST Divulgation non autorisée des informations de tests du
micro-circuit.
T_DIS_TOOLS Divulgation non autorisée des outils de développement.
T_DIS_PHOTOMASK Divulgation non autorisée des informations liées au
réticule.
T.T_SAMPLE Vol ou utilisation abusive d’échantillons.
T.T_PHOTOMASK Vol ou utilisation abusive des réticules du circuit.
T.T_PRODUCT Vol ou utilisation abusive des produits cartes à puce.
T.MOD_DESIGN Modification non autorisée de la conception du circuit.
T.MOD_PHOTOMASK Modification non autorisée des réticules du produit.
T.MOD_DSOFT Modification non autorisée des logiciels de tests dédiés.
T.MOD_SOFT Modification non autorisée des logiciels embarqués.
A - Caractéristiques de sécurité Rapport de certification 2000/10
Page 30 Décembre 2000
A.2 Hypothèses sur l’environnement
A.2.1 Hypothèses sur la phase 1
A.2.2 Hypothèses sur le processus de livraison de la cible d’évaluation (phases 4 à 7)
A.2.3 Hypothèses sur les phases 4 à 6
A.2.4 Hypothèses sur la phase 7
132
A.SOFT_ARCHI Les logiciels embarqués doivent être développés de
manière sûre, en veillant à assurer l’intégrité des
programmes et des données.
A.DEV_ORG Existence de procédures de sécurité traitant de la sécurité
physique, liées au personnel, organisationnelles ou
techniques au cours du développement des logiciels
embarqués.
A.DLV_PROTECT Existence de procédures assurant la protection de la cible
d’évaluation au cours de la livraison.
A.DLV_AUDIT Analyse et traitement des incidents.
A.DLV_RESP Formation et qualification des personnels chargés de la
livraison.
A.USE_TEST Existence de tests fonctionnels adéquats des circuits
intégrés au cours des phases 4 à 6.
A.USE_PROD Existence de procédures de sécurité durant les phases de
fabrication et de tests pour maintenir la confidentialité et
l’intégrité de la cible d’évaluation.
A.USE_DIAG Existence de protocoles de communication sûrs dans les
échanges cartes et terminaux.
A.USE_SYS L’intégrité et la confidentialité des données sensibles
doivent être maintenues par le système.
Rapport de certification 2000/10 A - Caractéristiques de sécurité
Décembre 2000 Page 31
A.3 Objectifs pour la cible d’évaluation
Les informations sensibles désignent :
- les données applicatives chargées en EEPROM telles que les données de
pré-personalisation,
- les logiciels dédiés.
O.TAMPER La TSF doit se prémunir contre les attaques physiques.
O.CLON La TSF doit se prémunir contre le clonage fonctionnel.
O.OPERATE La TSF doit assurer la continuité de ses fonctions de
sécurité.
O.FLAW La TSF ne doit pas contenir d’erreurs de conception,
d’implémentation ou dans son exécution.
O.DIS_MECHANISM La TSF doit se prémunir contre toute divulgation non
autorisée de ces mécanismes de sécurité.
O.DIS_MEMORY La TSF doit se prémunir contre toute divulgation non
autorisée des informations sensibles contenues dans les
mémoires.
O_MOD_MEMORY La TSF doit se prémunir contre toute modification non
autorisée des informations sensibles contenues dans les
mémoires.
A - Caractéristiques de sécurité Rapport de certification 2000/10
Page 32 Décembre 2000
A.4 Objectifs pour l’environnement
A.4.1 Objectifs pour la phase 1
A.4.2 Objectifs pour la phase 2
O.DEV_DIS Maintien de l’intégrité et de la confidentialité des outils
de développement fournis par le concepteur du circuit.
O.SOFT_DLV Maintien de la sécurité au cours de la livraison des
logiciels embarqués au concepteur du circuit.
O.SOFT_MECH Utilisation par le développeur des logiciels embarqués
des recommandations émises par le concepteur du circuit
afin de garantir le niveau de sécurité du produit.
O.DEV_TOOLS L’environnement de développement des logiciels
embarqués doit permettre de garantir l’intégrité des
programmes et des données.
O.SOFT_ACS Contrôle d’accès aux logiciels embarqués au sein du
concepteur du micro-circuit sur la base du besoin d’en
connaître.
O.DESIGN_ACS Contrôle d’accès aux informations relatives à la
conception et à l’implémentation du micro-circuit.
O.DSOFT_ACS Contrôle d’accès aux informations relatives à la
conception et à l’implémentation des logiciels dédiés.
O.MASK_FAB Existence de procédures de sécurité garantissant
l’intégrité et la confidentialité de la cible d’évaluation au
cours du processus de fabrication des réticules.
O.MECH_ACS Contrôle de la diffusion des spécifications des
mécanismes de sécurité du composant.
O.TI_ACS Contrôle de la diffusion des informations liées à la
technologie du composant.
Rapport de certification 2000/10 A - Caractéristiques de sécurité
Décembre 2000 Page 33
A.4.3 Objectifs pour la phase 3
A.4.4 Objectifs pour les phases 4 à 7
O.TOE_PRT Protection de la cible d’évaluation au cours du processus
de fabrication.
O.IC_DLV Maintien de la confidentialité et de l’intégrité de la cible
d’évaluation au cours des procédures de livraison des
produits.
O.DLV_PROTECT Existence de procédures assurant la protection de la cible
d’évaluation au cours de la livraison.
O.DLV_AUDIT Analyse et traitement des incidents.
O.DLV_RESP Formation et qualification des personnels chargés de la
livraison.
O.TEST_OPERATE Maintien de tests fonctionnels adéquats au cours des
phases 4 à 6.
O.USE_DIAG Existence de protocoles de communication sûrs dans les
échanges cartes et terminaux au cours de la phase 7.
O.USE_SYS L’intégrité et la confidentialité des données sensibles
doivent être maintenues par le système au cours de la
phase 7.
A - Caractéristiques de sécurité Rapport de certification 2000/10
Page 34 Décembre 2000
A.5 Exigences fonctionnelles de sécurité
A.5.1 Exigences fonctionnelles de sécurité pour la phase 3
A.5.2 Exigences fonctionnelles de sécurité pour la phase 3 à 7
Protection des données
utilisateur
FDP_SDI.1 Contrôle de l’intégrité des données stockées.
Identification et
authentification
FIA_UID.2
FIA_UAU.2
FIA_ATD.1
Identification de l’utilisateur préalablement à
toute action.
Authentification de l’utilisateur préalablement à
toute action.
Définition des attributs de lutilisateur.
Protection des
fonctions de sécurité
FPT_TST.1 Test de la TSF.
Administration de la
sécurité
FMT_MOF.1
FMT_MSA.1
FMT_SMR.1
FMT_MSA.3
Administration du comportement des fonctions
de sécurité.
Administration des attributs de sécurité.
Rôles de sécurité.
Initialisation statique d’attributs.
Protection des données
utilisateur
FDP_ACC.2
FDP_ACF.1
FDP_IFC.1
FDP_IFF.1
Contrôle d’accès complet.
Contrôle d’accès basé sur les attributs de
sécurité.
Contrôle de flux d’informations partiel
Attributs de sécurité simple.
Audit de sécurité FAU_SAA.1 Analyse de violation potentielle.
Protection de la vie
privée
FPR_UNO.1 Non-observabilité
Protections des
fonctions de sécurité
FPT_PHP.2
FPT_PHP.3
Notification d’une attaque physique.
Résistance à une attaque physique.
Rapport de certification 2000/10 A - Caractéristiques de sécurité
Décembre 2000 Page 35
A.6 Exigences d’assurance
Cible de sécurité ASE Évaluation de la cible de sécurité.
EAL4 ACM_AUT.1
ACM_CAP.4
ACM_SCP.2
ADO_DEL.2
ADO_IGS.1
ADV_FSP.2
ADV_HLD.2
ADV_IMP.1
ADV_LLD.1
ADV_RCR.1
ADV_SPM.1
AGD_ADM.1
AGD_USR.1
ALC_DVS.1
ALC_LCD.1
ALC_TAT.1
ATE_COV.2
ATE_DPT.1
ATE_FUN.1
ATE_IND.2
AVA_MSU.2
AVA_SOF.1
AVA_VLA.2
Automatisation partielle de la CM.
Aide à la génération et procédures de réception.
Couverture du suivi des problèmes par la CM
Détection de modifications
Procédures d’installation, de génération et de
démarrage.
Définition exhaustive des interfaces externes.
Conception de haut niveau de sécurité.
Sous-ensemble de l’implémentation de la TSF.
Conception de bas niveau descriptive.
Démonstration de correspondance informelle.
Modèle informel de politique de sécurité de la
TOE.
Guide de l’administrateur.
Guide de l’utilisateur.
Identification des mesures de sécurité.
Modèle de cycle de vie défini par le
développeur.
Outils de développement bien définis.
Analyse de la couverture.
Tests : conception de haut niveau.
Tests fonctionnels.
Tests indépendants - par échantillonnage
Validation de l’analyse
Évaluation de la résistance des fonctions de
sécurité de la TOE
Analyse de vulnérabilité indépendante.
Augmentation ADV_IMP.2
ALC_DVS.2
ALC_FLR.1
AVA_VLA.4
AMA_AMP.1
AMA_CAT.1
AMA_EVD.1
AMA_SIA.2
Implémentation de la TSF.
Caractère suffisant des mesures de sécurité.
Correction d’erreurs élémentaire.
Résistance élevée.
Plan de maintenance de l’assurance.
Rapport de classification des composants de la
TOE.
Éléments de preuve du processus de
maintenance.
Examen de l’analyse d’impact sur la sécurité.
A - Caractéristiques de sécurité Rapport de certification 2000/10
Page 36 Décembre 2000
38
Rapport de certification 2000/10
Décembre 2000 Page 37
Annexe B
Configuration de la cible d’évaluation
133 La cible d'évaluation, bâtie sur la plate-forme ST19, comporte :
- le micro-circuit ST19SF08CExyz et ses logiciels dédiés,
- l’environnement de développement tel que décrit dans le présent rapport.
134 Afin de pouvoir être testé, le produit a été utilisé avec un logiciel embarqué
développé par STMicroelectronics appelé “Card Manager”. Ce logiciel ne fait pas
partie de l’évaluation.
135 La configuration de test de la cible d’évaluation est la suivante :
- ST19SF08CE RZO :
- micro-circuit : ST19SF08C,
- logiciels enfouis : THE,
- logiciel “Card Manager” RZO (hors évaluation),
- mask set K460A (site de fabrication de Rousset)
- mask set K461A (site de fabrication d’Agrate)
136 La documentation disponible pour le produit est la suivante :
- Documentation d’utilisation du produit : “ST19SFxx IC Data Sheet”,
- Documentation d’administration du produit : “Security Application
Manual”, référencé [9].
B - Configuration de la cible d’évaluation Rapport de certification 2000/10
Page 38 Décembre 2000
42
Rapport de certification 2000/10
Décembre 2000 Page 39
Annexe C
Glossaire
C.1 Abréviations
CC (Common Criteria) - Critères Communs, l’intitulé utilisé
historiquement pour la présente norme à la place de
l’intitulé officiel de l’ISO 15408: “Critères d’évaluation
de la sécurité des technologies de l’information”
EAL (Evaluation Assurance Level) - Niveau d’assurance de
l’évaluation
EEPROM Electrically Erasable Programmable Read Only Memory
PP (Protection Profile) - Profil de protection
RAM Random Access Memory
ROM Read Only Memory
SF (Security Function) - Fonction de sécurité
SFP (Security Function Policy) - Politique d’une fonction de
sécurité
ST (Security Target) - Cible de sécurité
TI (IT : Information Technology) - Technologie de
l’Information
TOE (Target of Evaluation) - Cible d’évaluation
TSF (TOE Security Functions) - Ensemble des fonctions de
sécurité de la TOE
C - Glossaire Rapport de certification 2000/10
Page 40 Décembre 2000
C.2 Glossaire
Affectation La spécification d’un paramètre identifié dans un
composant.
Assurance Fondement de la confiance dans le fait qu’une entité
satisfait à ses objectifs de sécurité.
Augmentation L’addition d’un ou de plusieurs composants d’assurance
de la Partie 3 à un EAL ou à un paquet d’assurance.
Biens Informations ou ressources à protéger par les contre-
mesures d’une TOE.
Cible d’évaluation
(TOE)
Un produit ou un système TI et la documentation associée
pour l’administrateur et pour l’utilisateur qui est l’objet
d’une évaluation.
Cible de sécurité (ST) Un ensemble d’exigences de sécurité et de spécifications
à utiliser comme base pour l’évaluation d’une cible
d’évaluation identifiée.
Classe Un groupement de familles qui partagent un thème
commun.
Composant Le plus petit ensemble sélectionnable d’éléments qui peut
être inclus dans un PP, une ST ou un paquet.
Évaluation Estimation d’un PP, d’une ST ou d’une TOE par rapport
à des critères définis.
Fonction de sécurité Une partie ou des parties de la TOE sur lesquelles on
s’appuie pour appliquer un sous-ensemble étroitement
imbriqué de règles tirées de la TSP.
Informel Qui est exprimé à l’aide d’un langage naturel.
Itération L’utilisation multiple d’un composant avec des
opérations différentes.
Niveau d’assurance de
l’évaluation
Un paquet composé de composants d’assurance tirées de
la Partie 3 qui représente un niveau de l’échelle
d’assurance prédéfinie des CC.
Objectif de sécurité Une expression de l’intention de contrer des menaces
identifiées ou de satisfaire à des politiques de sécurité
organisationnelles et à des hypothèses.
Rapport de certification 2000/10 C - Glossaire
Décembre 2000 Page 41
Plate-forme Ensemble de technologies et de capacités pouvant être
développées et appliquées afin de servir de base de
croissance et d’innovation dans divers produits et
services.
Politique de sécurité
organisationnelle
Une ou plusieurs règles, procédures, codes de conduite ou
lignes directrices de sécurité qu’une organisation impose
pour son fonctionnement.
Produit Un ensemble de logiciels, microprogrammes ou matériels
TI qui offre des fonctionnalités conçues pour être utilisées
ou incorporées au sein d’une multiplicité de systèmes.
Profil de protection Un ensemble d’exigences de sécurité valables pour une
catégorie de TOE, indépendant de son implémentation,
qui satisfait des besoins spécifiques d’utilisateurs.
Raffinement L’addition de détails à un composant.
Sélection La spécification d’une ou de plusieurs entités à partir
d’une liste au sein d’un composant.
Utilisateur Toute entité (utilisateur humain ou entité TI externe) hors
de la TOE qui interagit avec elle.
C - Glossaire Rapport de certification 2000/10
Page 42 Décembre 2000
44
Rapport de certification 2000/10
Décembre 2000 Page 43
Annexe D
Références
[1] [CC-1] Common Criteria for Information Technology Security
Evaluation Part 1: Introduction and general model CCIMB - 99-031,
version 2.1, August 1999 (conforme à la norme ISO 15408),
[2] [CC-2] Common Criteria for Information Technology Security
Evaluation Part 2: Security Functional Requirements CCIMB-99-032,
version 2.1, August 1999 (conforme à la norme ISO 15408),
[3] [CC-3] Common Criteria for Information Technology security
Evaluation Part 3: Security Assurance Requirements CCIMB-99-033,
version 2.1, August 1999 (conforme à la norme ISO 15408),
[4] [CEM] Common Methodology for Information Technology Security
Evaluation CEM-99/045, version 1.0, August 1999.
[5] Profil de protection PP/9806, “Smartcard Integrated Circuit, Version
2.0” de Septembre 1998.
[6] Certificat PP/9806, Avril 1999.
[7] Cible de sécurité “ST19SF08B Security Target”, version 2.7, document
confidentiel.
[8] Rapport technique d’évaluation, référencé AZUR_ETR version 1.0, 19
octobre 2000, document secret.
[9] Security Application Manual, Version 1.2, 30 juin 2000, document
confidentiel.
[10] Résumé de la cible de sécurité, “ST19SFxx Security Target” version
1.2, document public.
D - Références Rapport de certification 2000/10
Page 44 Décembre 2000