Le National Institute of Standards and Technology (NIST) a publié en octobre un ensemble de guides liés à la sécurité. Pris ensemble, les documents émis depuis fin septembre font apparaître des grandes lignes assez claires en matière d’activité du moment.
Ce qui vient en premier est la question de l’identification en vue de contrôler des accès (que ces derniers soient relatifs à un système informatique ou à des installations). Le NIST vient de publier une note relative à des attaques sur les signatures RSA et cela fait suite à une série de documents relatifs à l’identification, que ce soit sous l’angle conceptuel (Ontology of Identity Credentials), technique (Biometric Data Specification for Personal Identity, PIV Card / Reader Interoperability Guidelines, voire Guidance for Securing Radio Frequency Identification) ou méthodologique (Assessment of Access Control Systems). En parallèle du déploiement des systèmes d’identification suivant la directive présidentielle dite HSPD-12 de 2004. La date limite pour la mise en service dans l’administration de systèmes d’identification était le 27 octobre. De manière prévisible la mise en oeuvre est encore très partielle et insuffisante (coir par exemple le rapport de l’inspection générale quant à la sécurité de l’information au ministère Homeland Security DHS), et surtout fait apparaître de nombreuses questions non encore traitées dans les guides et normes qui ont été élaborés depuis deux ans.
Le second thème qui se dégage clairement est la sécurité informatique en tant que telle, avec surtout des manuels et guides (Information Security Handbook: A Guide for Managers, Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities, Guidelines for Media Sanitization) utiles pour un déploiement et une mise en oeuvre des normes notamment techniques précédemment élaborées, mais également des guides techniques généraux (Recommended Security Controls for Federal Information Systems) ou plus spécialisés (Guide to Computer Security Log Management, Guidance for Securing Microsoft Windows XP Home Edition, etc.). Il convient de remarquer qu’au-delà de ce travail technique du NIST sur le sujet, de nombreuses voix reprochent à l’exécutif (et en particulier au DHS) de ne pas avoir assez investi en R&D sur ce sujet.
Source :
– An Ontology of Identity Credentials, Part 1: Background and Formulation Special Publication 800-103(Draft), 06/10/2006
https://csrc.nist.gov/publications/drafts.html#sp800-103
– Assessment of Access Control Systems NIST IR-7316, 29/09/2006
https://csrc.nist.gov/publications/nistir/7316/NISTIR-7316.pdf
– Biometric Data Specification for Personal Identity Verification Special Publication 800-76-1(Draft), 14/09/2006
https://csrc.nist.gov/publications/drafts.html#sp800-76-1
– PIV Card / Reader Interoperability Guidelines September 2006 Special Publication 800-96
https://csrc.nist.gov/publications/nistpubs/800-96/SP800-96-091106.pdf
(liés par ailleurs à Personal Identity Verification Demonstration Summary, NIST IR-7337, 08/2006, https://csrc.nist.gov/publications/nistir/NISTIR-7337_CRADA_082006.pdf )
– Guidance for Securing Radio Frequency Identification (RFID) Systems Special Publication 800-98(Draft), 26/09/2006
https://csrc.nist.gov/publications/drafts/800-98/Draft-SP800-98.pdf
– An attack on RSA digital signatures using the padding scheme for RSASSA-PKCS1-v1_5 as specified in Public Key Cryptography Standards (PKCS) #1 v2.1 (RSA Cryptography Standard-2002) NIST statement, 20/10/2006
https://csrc.nist.gov/news-highlights/RSA-statement_10-17-06_.pdf
– Recommended Security Controls for Federal Information Systems Special Publication 800-53, Revision 1 (Final Public Draft), 20/10/2006
https://csrc.nist.gov/publications/drafts/800-53-rev1-fpd-clean.pdf
– Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities Special Publication 800-84, 29/09/2006
https://csrc.nist.gov/publications/nistpubs/800-84/SP800-84.pdf
– Information Security Handbook: A Guide for Managers Draft Special Publication 800-100
https://csrc.nist.gov/publications/drafts.html#sp800-100
– Guidelines for Media Sanitization September 2006 SP 800-88
https://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf
– Guide to Computer Security Log Management Special Publication 800-92, 29/09/2006.
https://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
– Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist Special Publication 800-69, 29/09/2006
https://csrc.nist.gov/itsec/guidance_WinXP_Home.html
Pour en savoir plus, contacts :
– Directive HSPD-12 – Policy for a Common Identification Standard for Federal Employees and Contractors
https://www.whitehouse.gov/news/releases/2004/08/20040827-8.html
– Personal Identity Verification (PIV) of Federal Employees and Contractors, FIPS 201-1 26 juin 2006
https://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf
– Interfaces for Personal Identity Verification SP 800-73 (card interface commands and responses)
https://csrc.nist.gov/publications/nistpubs/800-73-1/sp800-73-1v7-April20-2006.pdf
– Biometric Data Specification for Personal Identity Verification SP 800-76
https://csrc.nist.gov/publications/nistpubs/800-76/sp800-76.pdf
– Cryptographic Standards and Key Sizes for Personal Identity Verification SP 800-78 (Draft)
https://csrc.nist.gov/publications/drafts.html#sp800-78-1
– Guidelines for the Certification and Accreditation of PIV Card Issuing Organizations SP 800-79
https://csrc.nist.gov/publications/nistpubs/800-79/sp800-79.pdf
– Evaluation of DHS’ Information Security Program for Fiscal Year 2006, September 2006
https://www.dhs.gov/xoig/assets/mgmtrpts/OIG_06-62_Sep06.pdf
– BE Etats-Unis 25 – L’identification des employés fédéraux par carte à puce prend du retard
https://www.bulletins-electroniques.com/actualites/032/32536.htm
– BE Etats-Unis 14 – Du retard dans la mise en place d’un système d’identification commun aux agences fédérales
https://www.bulletins-electroniques.com/actualites/031/31170.htm
Code brève
ADIT : 39854
Rédacteur :
Jean-Philippe Lagrange, attache-stic.mst @ambafrance-us.org