1、 Union internationale des tlcommunicationsUIT-T X.1206SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (04/2008) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit du cyberespace Cyberscurit Cadre indpendant du fournisseur de produits pour la notification automati
2、que dinformations de scurit et la diffusion automatique de mises jour Recommandation UIT-T X.1206 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES X.1X.199 INTERCONNEXION DES SYSTMES OUVERTS X.200X.299 INTERFONCTIONNEMENT DES
3、 RSEAUX X.300X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES X.600X.699 GESTION OSI X.700X.799 SCURIT X.800X.849 APPLICATIONS OSI X.850X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DE LINFORMATION ET DES RSEAUX Aspects gnraux de la scurit X.1000X.1029 S
4、curit des rseaux X.1030X.1049 Gestion de la scurit X.1050X.1069 Tlbiomtrie X.1080X.1099 APPLICATIONS ET SERVICES SCURISS Scurit en multidiffusion X.1100X.1109 Scurit des rseaux domestiques X.1110X.1119 Scurit des tlcommunications mobiles X.1120X.1139 Scurit de la toile X.1140X.1149 Protocoles de scu
5、rit X.1150X.1159 Scurit dhomologue homologue X.1160X.1169 Scurit des identificateurs en rseau X.1170X.1179 Scurit de la tlvision par rseau IP X.1180X.1199 SCURIT DU CYBERESPACE Cyberscurit X.1200X.1229 Lutte contre le pollupostage X.1230X.1249 Gestion des identits X.1250X.1279 APPLICATIONS ET SERVIC
6、ES SCURISS Communications durgence X.1300X.1309 Scurit des rseaux de capteurs ubiquitaires X.1310X.1339 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1206 (04/2008) i Recommandation UIT-T X.1206 Cadre indpendant du fournisseur de produits pour la notification automat
7、ique dinformations de scurit et la diffusion automatique de mises jour Rsum La Recommandation UIT-T X.1206 fournit un cadre pour la notification automatique dinformations de scurit et la diffusion automatique de mises jour. Ce cadre a pour caractristique essentielle de ne pas dpendre du fournisseur
8、de produits. Une fois quune ressource est enregistre, des mises jour dinformations de vulnrabilit, des corrections ou dautres mises jour concernant la ressource peuvent tre automatiquement mises la disposition des utilisateurs ou directement transmises aux applications. Source La Recommandation UIT-
9、T X.1206 a t approuve le 18 avril 2008 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Rsolution 1 de lAMNT. ii Rec. UIT-T X.1206 (04/2008) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine
10、 des tlcommunications et des technologies de linformation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations e
11、n vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes.
12、Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CE
13、I. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienn
14、e certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leu
15、rs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donne
16、r lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandati
17、ons. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recom
18、mand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2009 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1206 (04/2008) iii TABLE D
19、ES MATIRES Page 1 Domaine dapplication 1 2 Rfrences. 1 3 Dfinitions 1 3.1 Termes dfinis dans la prsente Recommandation 1 4 Abrviations 2 5 Conventions 2 6 Introduction 3 7 Situation actuelle concernant les informations de vulnrabilit. 4 8 Aperu gnral dun cadre indpendant du fournisseur de produits.
20、5 8.1 Sources multiples dinformations de vulnrabilit, de mises jour et de corrections 6 8.2 Exemple de fonctionnement dapplication . 6 8.3 Considrations lies la scurit et au respect de la vie prive . 8 9 Architecture recommande. 8 9.1 Couche cur de message 8 9.2 Couche message/application 9 9.3 Eche
21、lonnabilit. 9 9.4 Extensibilit 9 9.5 Indpendance vis-vis de la plate-forme. 10 9.6 Communication client/serveur 10 10 Composants du cadre 10 10.1 Conteneur de messages. 11 10.2 Message de version. 14 11 Schmas 21 11.1 Message_Core 21 11.2 Message_Version . 23 Bibliographie 28 Rec. UIT-T X.1206 (04/2
22、008) 1 Recommandation UIT-T X.1206 Cadre indpendant du fournisseur de produits pour la notification automatique dinformations de scurit et la diffusion automatique de mises jour 1 Domaine dapplication La prsente Recommandation fournit un cadre pour les flux bidirectionnels de notification et de diff
23、usion automatiques dinformations de vulnrabilit et de diffusion de mises jour et/ou de corrections. De plus, elle permet aux administrateurs de systmes de connatre ltat de toute ressource relevant de leur responsabilit. Les paragraphes 6 et 7 dcrivent les problmes lis la maintenance des ressources d
24、u point de vue de lidentification des ressources, de la diffusion des informations et de la gestion des systmes/rseaux. Le paragraphe 8 donne un aperu gnral dun cadre indpendant du fournisseur de produits. Il donne un exemple de systme pris en charge par ladoption du cadre, dcrit les comportements d
25、u cadre et donne un exemple de squence dchanges se droulant dans le cadre. Il dcrit aussi le niveau de scurit considrer dans le cadre indpendant du fournisseur de produits. Le paragraphe 9 dcrit les fonctionnalits et les caractristiques de larchitecture recommande. Le paragraphe 10 donne les dfiniti
26、ons des structures de donnes des composants du cadre. Le paragraphe 11 contient le schma XML dfini et dcrit dans le paragraphe 10. La prsente Recommandation fournit un cadre que tout fournisseur de produits peut utiliser pour la notification et la rception dinformations de vulnrabilit ainsi que pour
27、 la diffusion des corrections/mises jour requises pour les ressources concernes. Elle dfinit le format des informations qui devraient tre utilises dans et entre les composants qui composent le cadre. Elle ne dfinit pas les protocoles utiliser pour la communication entre les composants tant donn que
28、de nombreux protocoles sont pris en charge sans examen particulier. Si certains rles et responsabilits communs devront tre dfinis pour une exploitation fonde sur le cadre indpendant du fournisseur de produits, un examen relatif la dfinition et la mise en uvre des rles possibles et de leurs responsab
29、ilits rsultantes ne relve pas du domaine dapplication de la prsente Recommandation. 2 Rfrences Aucune. 3 Dfinitions 3.1 Termes dfinis dans la prsente Recommandation La prsente Recommandation dfinit les termes suivants: 3.1.1 agent: mise en uvre de la prsente Recommandation fonctionnant en appui une
30、ressource installe sur un dispositif donn, en appui une fonctionnalit de serveur ou en appui une fonctionnalit de serveur local. 3.1.2 ressource: dispositif, quipement identifiable sparment, application, systme dexploitation ou instance de code excutable. 3.1.3 client: dispositif qui demande des ser
31、vices un autre dispositif. 2 Rec. UIT-T X.1206 (04/2008) 3.1.4 dispositif: systme agissant comme client, serveur, client/serveur ou serveur local. 3.1.5 groupe: ensemble de dispositifs exploits en tant quunit unique. 3.1.6 serveur local: client agissant en tant que nud serveur pour dautres clients a
32、val. 3.1.7 message: demande dune action spcifique raliser, par exemple une action gnrale telle que “Register“ (“enregistrer“) une ressource comme tant dune version donne et/ou contenant des composants de versions donnes, “Request“ (“demander“) des mises jour, des corrections ou des informations de v
33、ulnrabilit existantes ou disponibles dans le futur, etc. Des messages tendant la fonctionnalit de la prsente Recommandation peuvent tre dfinis hors du domaine dapplication de la prsente Recommandation. 3.1.8 donnes de message: informations fournies en appui un message donn. Parmi le nombre presque i
34、nfini de possibilits, la prsente Recommandation dfinit comme exemples spcifiques des donnes dfinissant des informations de version, des informations de vulnrabilit relatives des versions donnes ainsi que des mises jour ou des corrections de versions spcifiques. 3.1.9 ensemble de message: combinaison
35、 et association dun identificateur unique universel, dun message et de la dfinition des donnes de message associes au message, tous dfinis dans le cadre dun schma XML tir, en ltendant, de llment Message_Core dfini dans la prsente Recommandation. 3.1.10 correction: correction largement diffuse dune v
36、ulnrabilit propre un produit et relative la scurit. Mthode de mise jour dun fichier qui ne remplace que les parties modifies et non la totalit du fichier. 3.1.11 serveur: dispositif utilis pour rpondre des demandes dautres dispositifs. 3.1.12 vulnrabilit: toute faiblesse, processus ou mcanisme admin
37、istratif, ou exposition physique qui rend un ordinateur ou un rseau dordinateurs susceptible de subir les consquences dune menace. 4 Abrviations La prsente Recommandation utilise les abrviations et les acronymes suivants: API interface de programmation dapplication (application programming interface
38、) GUID identificateur unique globalement (globally unique IDentifier) HTTP protocole de transfert hypertexte (hypertext transfer protocol) ISIRT quipe dintervention en cas dincident touchant la scurit des informations (information security incident response team) ISP fournisseur de services Internet
39、 (Internet service provider) OS systme dexploitation (operating system) POAS plate-forme/systme dexploitation/application/service (platform/operating system/application/service) URI identificateur uniforme de ressource (uniform resource Identifier) 5 Conventions Aucune. Rec. UIT-T X.1206 (04/2008) 3
40、 6 Introduction On constate quun nombre plus grand dindividus commencent utiliser un ordinateur domicile et au travail alors quils sont moins nombreux avoir une formation reconnue linformatique et encore moins aux problmes de scurit. On atteint rapidement un stade o il devient non seulement presque
41、impossible de maintenir la scurit mais aussi plus difficile pour les responsables de la scurit de savoir dans quelles conditions fonctionnent les systmes dont ils ont la responsabilit et quils doivent surveiller avant quune infraction ou un incident soit constat (lorsquil est donc dj trop tard). Cec
42、i sexplique principalement par lexistence dun trs grand nombre dordinateurs diffrents, qui se trouvent dans des tats diffrents de maintenance et de mise jour. En ce qui concerne les questions de scurit, la gestion de systmes sapparente bien moins un processus prventif qu une sorte de processus de ge
43、stion “des catastrophes“ et de rtablissement aprs interruption. Bien quun certain nombre dapplications et mme de systmes dexploitation (OS) disposent de leurs propres mcanismes de mise jour, ils ont tous un certain nombre de problmes en commun. Lun de ces problmes est que tous les mcanismes de mise
44、jour doivent dabord tre activs pour fonctionner et quils ne peuvent ensuite tre autoriss fonctionner que si la disponibilit dune mise jour est notifie lutilisateur, supposer que le processus de notification ait lui-mme t activ par ce dernier. Le plus regrettable sans doute est que ces problmes ne la
45、issent pour lheure aucune place aux administrateurs de systmes: moins dinstaller leurs propres systmes de surveillance sur chacun des ordinateurs placs sous leur responsabilit, ceux-ci nont aucune ide du niveau gnral de scurit dans les rseaux et les systmes dont ils ont la charge. De plus, malgr la
46、mise jour des logiciels la version la plus rcente, il arrive souvent que la rsolution de problmes ne rside pas dans les seules mises jour mais plutt dans la mise en uvre de pratiques volues ne faisant pas appel ces mises jour mais seulement des informations reues par lutilisateur final. Mme si diver
47、s applications et systmes dexploitation peuvent avoir mis en place des mcanismes de mise jour, aucun deux nutilise de mthode uniforme pour que les utilisateurs restent informs des meilleures pratiques les plus rcentes conduisant un fonctionnement sr et continu. Les mthodes utilises pour diffuser les mises jour sont galement importantes. A lheure actuelle, toutes les mises jour se font travers divers mcanismes via des canaux spcialiss (un par session de mise jour). Mais s
