Schéma Français
de la Sécurité des Technologies de l’Information
d’Évaluation et de Certification
PREMIER MINISTRE
SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE
Profil de Protection
SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
ecf
ecf
E
v
aluation et Certification França
i
s
e
Rapport de certification PP/9907
Automatic Cash Dispensers/Teller Machines
(Version 1.0)
Avril 1999
Ce document est folioté de 1 à 8 et certificat.
Ce document constitue le rapport de certification du profil de protection “Automatic Cash
Dispensers/Teller Machines".
Ce rapport de certification ainsi que le profil de protection associé sont disponibles sur le site
internet du Service Central de la Sécurité des Systèmes d'Information à l'adresse suivante :
www.scssi.gouv.fr
Toute correspondance relative à ce rapport de certification doit être adressée au :
SCSSI
Centre de Certification de la Sécurité des Technologies de l’Information
18, rue du docteur Zamenhof
F-92131 ISSY-LES-MOULINEAUX CEDEX.
mèl : ssi20@calva.net
© SCSSI, France 1999.
La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée.
Schéma Français
d’Évaluation et de Certification
de la Sécurité des Technologies de l’Information
ecf
ecf
E
v
aluation et Certification França
i
s
e
Ce profil de protection a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la
sécurité des TI version 2.0 et à la méthodologie commune pour l'évaluation de la sécurité des TI version 0.6.
Ce certificat ne s'applique qu'à la version évaluée du profil de protection selon les modalités décrites dans le rapport de certification associé.
L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité des TI. Les conclusions
du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis.
Ce certificat ne constitue pas en soi une recommandation du profil de protection par l'organisme de certification ou par toute autre organisation
qui le reconnaît ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du profil par l'organisme de certification ou par toute
autre organisation qui le reconnaît ou l'utilise.
CERTIFICAT PP/9907
Protection Profile
Automatic Cash Dispensers/Teller Machines Version 1.00
Exigences d'assurance : EAL4 augmenté
Le 19 avril 1999, Le chef du Service central de la sécurité
des systèmes d’information
Bull NCR
Dassault AT Siemens Nixdorf
Diebold Wang Global
Organisme de Certification
SCSSI
18, rue du docteur Zamenhof
F-92131 ISSY-LES-MOULINEAUX CEDEX.
4
Rapport de certification PP/9907
Avril 1999 Page 1
Chapitre 1
Introduction
1 Ce document présente le rapport de certification du profil de protection “Automatic
Cash Dispensers/Teller Machines” dont la référence est PP/9907.
2 La version évaluée du profil de protection est la version 1.00 de mars 1999.
3 L'enregistrement du profil de protection a été demandé par :
4 Le profil de protection a été développé par ces mêmes sociétés.
5 Le profil de protection PP/9907 est rédigé en langue anglaise. Un version en langue
française du profil de protection est également disponible.
6 Un profil de protection définit pour une catégorie de cibles d’évaluation un
ensemble d’exigences et d’objectifs de sécurité des TI indépendant de
l’implémentation. Les cibles d’évaluation ainsi définies ont pour objet de satisfaire
des besoins communs de clients en ce qui concerne la sécurité des TI.
Bull Business Unit SST
Division Smartcards and Terminals
68, route de Versailles BP 45
F - 78431 Louveciennes Cedex
Dassault AT 9, rue Elsa Triolet
ZI des Gâtines BP 13
F- 78373 Plaisir cedex
Diebold 5 bis, rue du pont des Halles
F - 94656 Rungis
NCR 1, square John J. Patterson
F - 91749 Massy cedex
Siemens Nixdorf Retail and Banking Systems GmbH
Heinz - Nixdorf -Ring 1
D - 33106 Paderborn
Wang Global Rue de l'ancien marché
La Défense 9 Puteaux
F - 92047 Paris La Défense Cedex
1 - Introduction Rapport de certification PP/9907
Page 2 Avril 1999
7 Le contenu d’un profil de protection doit se conformer aux exigences décrites dans
la partie 1 des critères communs [1].
8 Un profil de protection est un document constitué de deux parties :
- le corps du document définissant pour la catégorie de cibles d'évaluation
envisagées les objectifs et les exigences de sécurité,
- une partie justificative constituée des éléments de preuve nécessaires à
l'évaluation du profil de protection. Cette partie peut être fournie
séparément si cela s'avère nécessaire.
9 Ce profil de protection, excepté sa partie justificative, est un document public.
1.1 Contexte de l’évaluation
10 L’évaluation du profil de protection a été menée conformément aux critères
communs [1] à [4] et à la méthodologie définie dans le document [5].
11 L' évaluation du profil de protection en date du mois de mars 1999 a été conduite
par le centre d'évaluation d'AQL.
1.2 Résultats
12 Le profil de protection détaillé au chapitre 2 du présent rapport satisfait aux
exigences d'évaluation des profils de protection définis dans la classe APE de la
partie 3 des critères communs [4].
1.3 Enregistrement
13 Ce profil de protection est enregistré dans le catalogue des profils de protection
évalués suite à son évaluation par le centre d'évaluation d'AQL.
14 Un profil de protection enregistré est un document public dont une copie pourra être
transmise à tout organisme qui en fera la demande auprès de l'organisme de
certification.
15 Suite à modification, une nouvelle version de ce profil de protection peut être
enregistrée.
16 Sur demande, il pourra être retiré du catalogue des profils de protection évalués
conformément aux exigences définies dans le guide technique ECF 11 [8].
17 Ce profil de protection “Automatic Cash Dispensers/Teller Machines” sera
mentionné dans la prochaine version du guide technique ECF 06 [9] dans le
catalogue des profils de protection évalués.
Rapport de certification PP/9907 1 - Introduction
Avril 1999 Page 3
1.4 Portée de la certification
18 Le certificat d'un profil de protection ne s'applique qu'à la version évaluée du profil
de protection selon les modalités décrites dans le rapport de certification associé.
19 Le certificat d'un profil de protection ne constitue pas en soi une recommandation
du profil de protection par l'organisme de certification ou par toute autre
organisation qui le reconnaît ou l'utilise.
20 Le certificat d'un profil de protection n'exprime directement ou indirectement
aucune caution du profil par l'organisme de certification ou par toute autre
organisation qui le reconnaît ou l'utilise.
1.5 Fiche signalétique du profil de protection
Profil de protection Automatic Cash Dispensers/Teller
Machines
Statut Certifié
CESTI AQL
Version 1.00
Date de parution Mars 1999
Diffusion du document Justificatif non public
Demande d'enregistrement Bull
Dassault AT
Diebold
NCR
Siemens Nixdorf
Wang Global
Développeurs Bull
Dassault AT
Diebold
NCR
Siemens Nixdorf
Wang Global
Évaluation Mars 1999
Référence d'enregistrement PP/9907
1 - Introduction Rapport de certification PP/9907
Page 4 Avril 1999
Langue utilisée Anglais
Exigences d'assurance EAL4 augmenté
Résistance moyenne des fonctions de
sécurité
Profil de protection Automatic Cash Dispensers/Teller
Machines
6
Rapport de certification PP/9907
Avril 1999 Page 5
Chapitre 2
Présentation des résultats
2.1 Description de la cible d'évaluation
21 Le profil de protection définit les exigences de sécurité pour les automates
bancaires : il s'agit d' automates permettant à des porteurs de carte d'identification
(à puce ou microcircuit) et disposant d'un code confidentiel leur permettant de
s'authentifier, de réaliser différentes opérations sur un produit bancaire rattaché à la
carte, en particulier, le retrait d'espèces.
22 La cible d'évaluation est composée :
- d'une unité de traitement qui conditionne ou coordonne le fonctionnement
général de l'automate,
- d'un distributeur de billets qui permet de prendre des billets dans des
cassettes et de les présenter au porteur de carte,
- d'un lecteur de cartes (à microcircuit et éventuellement à piste),
- d'un dispositif de saisie par le porteur de carte.
2.2 Menaces
23 Les biens à protéger sont le code confidentiel du porteur, les clés cryptographiques,
le résultat du retrait, l’encaisse de l'automate et les données d'autorisation.
24 Les principales menaces envisagées dans ce profil de protection portent sur la
divulgation et la modification non autorisées des biens de la cible d'évaluation.
2.3 Exigences fonctionnelles
25 Le profil de protection définit les principales fonctionnalités suivantes :
- génération d'un journal d'audit,
- protection de la confidentialité des données échangées et des données
stockées,
- détection de modification des données échangées et des données stockées.
2 - Présentation des résultats Rapport de certification PP/9907
Page 6 Avril 1999
2.4 Exigences d'assurance
26 Le niveau d'assurance exigé par ce profil de protection est le niveau EAL4
augmenté. La cotation de la résistance minimum des fonctions de sécurité est le
niveau de résistance moyen.
27 Le tableau ci-après précise les exigences d'assurance qui sont demandées en
complément du niveau d'évaluation EAL4.
Exigences d'assurance
complémentaires
Type
AVA_VLA.3 Composant hiérarchiquement supérieur au niveau
EAL4
8
Rapport de certification PP/9907
Avril 1999 Page 7
Annexe A
Références
[1] [CC-1] Common Criteria for Information Technology Security
Evaluation Part 1: Introduction and general model CCIB-98-026,
version 2.0 May 1998,
[2] [CC-2] Common Criteria for Information Technology Security
Evaluation Part 2: Security Functional Requirements CCIB-98-027,
version 2.0 May 1998,
[3] [CC-2B] Common Criteria for Information Technology Security
Evaluation Part 2 annexes CCIB-98-027A, version 2.0 May 1998,
[4] [CC-3] Common Criteria for Information Technology security
Evaluation Part 3: Security Assurance Requirements CCIB-98-028,
version 2.0 May 1998,
[5] [CEM] Common Methodology for Information Technology Security
Evaluation CEM-99/008 version 0.6,
[6] Profil de protection PP/9907, version 1.00 Février 1999,
[7] Rapport Technique d’Évaluation PP/9907, document non public,
[8] ECF11, Procédure d'enregistrement des profils de protection version 1.0
du 16 janvier 1997,
[9] ECF 06, Catalogues, Juin 1998.
A - Références Rapport de certification PP/9907
Page 8 Avril 1999