Biométrie et contrôle des accès, guides de sécurité, gestion de la sécurité

, Partager

Le National Institute of Standards and Technology (NIST) a publié en octobre un ensemble de guides liés à la sécurité. Pris ensemble, les documents émis depuis fin septembre font apparaître des grandes lignes assez claires en matière d’activité du moment.
Ce qui vient en premier est la question de l’identification en vue de contrôler des accès (que ces derniers soient relatifs à un système informatique ou à des installations). Le NIST vient de publier une note relative à des attaques sur les signatures RSA et cela fait suite à une série de documents relatifs à l’identification, que ce soit sous l’angle conceptuel (Ontology of Identity Credentials), technique (Biometric Data Specification for Personal Identity, PIV Card / Reader Interoperability Guidelines, voire Guidance for Securing Radio Frequency Identification) ou méthodologique (Assessment of Access Control Systems). En parallèle du déploiement des systèmes d’identification suivant la directive présidentielle dite HSPD-12 de 2004. La date limite pour la mise en service dans l’administration de systèmes d’identification était le 27 octobre. De manière prévisible la mise en oeuvre est encore très partielle et insuffisante (coir par exemple le rapport de l’inspection générale quant à la sécurité de l’information au ministère Homeland Security DHS), et surtout fait apparaître de nombreuses questions non encore traitées dans les guides et normes qui ont été élaborés depuis deux ans.
Le second thème qui se dégage clairement est la sécurité informatique en tant que telle, avec surtout des manuels et guides (Information Security Handbook : A Guide for Managers, Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities, Guidelines for Media Sanitization) utiles pour un déploiement et une mise en oeuvre des normes notamment techniques précédemment élaborées, mais également des guides techniques généraux (Recommended Security Controls for Federal Information Systems) ou plus spécialisés (Guide to Computer Security Log Management, Guidance for Securing Microsoft Windows XP Home Edition, etc.). Il convient de remarquer qu’au-delà de ce travail technique du NIST sur le sujet, de nombreuses voix reprochent à l’exécutif (et en particulier au DHS) de ne pas avoir assez investi en R&D sur ce sujet.

Source :


- An Ontology of Identity Credentials, Part 1 : Background and Formulation Special Publication 800-103(Draft), 06/10/2006
http://csrc.nist.gov/publications/drafts.html#sp800-103
- Assessment of Access Control Systems NIST IR-7316, 29/09/2006
http://csrc.nist.gov/publications/nistir/7316/NISTIR-7316.pdf
- Biometric Data Specification for Personal Identity Verification Special Publication 800-76-1(Draft), 14/09/2006
http://csrc.nist.gov/publications/drafts.html#sp800-76-1
- PIV Card / Reader Interoperability Guidelines September 2006 Special Publication 800-96
http://csrc.nist.gov/publications/nistpubs/800-96/SP800-96-091106.pdf
(liés par ailleurs à Personal Identity Verification Demonstration Summary, NIST IR-7337, 08/2006, http://csrc.nist.gov/publications/nistir/NISTIR-7337_CRADA_082006.pdf )
- Guidance for Securing Radio Frequency Identification (RFID) Systems Special Publication 800-98(Draft), 26/09/2006
http://csrc.nist.gov/publications/drafts/800-98/Draft-SP800-98.pdf
- An attack on RSA digital signatures using the padding scheme for RSASSA-PKCS1-v1_5 as specified in Public Key Cryptography Standards (PKCS) #1 v2.1 (RSA Cryptography Standard-2002) NIST statement, 20/10/2006
http://csrc.nist.gov/news-highlights/RSA-statement_10-17-06_.pdf
- Recommended Security Controls for Federal Information Systems Special Publication 800-53, Revision 1 (Final Public Draft), 20/10/2006
http://csrc.nist.gov/publications/drafts/800-53-rev1-fpd-clean.pdf
- Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities Special Publication 800-84, 29/09/2006
http://csrc.nist.gov/publications/nistpubs/800-84/SP800-84.pdf
- Information Security Handbook : A Guide for Managers Draft Special Publication 800-100
http://csrc.nist.gov/publications/drafts.html#sp800-100
- Guidelines for Media Sanitization September 2006 SP 800-88
http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf
- Guide to Computer Security Log Management Special Publication 800-92, 29/09/2006.
http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
- Guidance for Securing Microsoft Windows XP Home Edition : A NIST Security Configuration Checklist Special Publication 800-69, 29/09/2006
http://csrc.nist.gov/itsec/guidance_WinXP_Home.html

Pour en savoir plus, contacts :


- Directive HSPD-12 - Policy for a Common Identification Standard for Federal Employees and Contractors
http://www.whitehouse.gov/news/releases/2004/08/20040827-8.html
- Personal Identity Verification (PIV) of Federal Employees and Contractors, FIPS 201-1 26 juin 2006
http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1-chng1.pdf
- Interfaces for Personal Identity Verification SP 800-73 (card interface commands and responses)
http://csrc.nist.gov/publications/nistpubs/800-73-1/sp800-73-1v7-April20-2006.pdf
- Biometric Data Specification for Personal Identity Verification SP 800-76
http://csrc.nist.gov/publications/nistpubs/800-76/sp800-76.pdf
- Cryptographic Standards and Key Sizes for Personal Identity Verification SP 800-78 (Draft)
http://csrc.nist.gov/publications/drafts.html#sp800-78-1
- Guidelines for the Certification and Accreditation of PIV Card Issuing Organizations SP 800-79
http://csrc.nist.gov/publications/nistpubs/800-79/sp800-79.pdf
- Evaluation of DHS’ Information Security Program for Fiscal Year 2006, September 2006
http://www.dhs.gov/xoig/assets/mgmtrpts/OIG_06-62_Sep06.pdf
- BE Etats-Unis 25 - L’identification des employés fédéraux par carte à puce prend du retard
http://www.bulletins-electroniques.com/actualites/032/32536.htm
- BE Etats-Unis 14 - Du retard dans la mise en place d’un système d’identification commun aux agences fédérales
http://www.bulletins-electroniques.com/actualites/031/31170.htm
Code brève
ADIT : 39854

Rédacteur :

Jean-Philippe Lagrange, attache-stic.mst @ambafrance-us.org

Voir en ligne : http://www.bulletins-electroniques….