STMicro et Thales, premiers bénéficiaires de la certification EUCC

À qui les premiers certificats EUCC ?

Nous avions posé la question il y a quelques semaines, après l'accréditation d'organismes d'évaluation dans quatre pays. Dont, en France, Serma Safety & Security.

La premier centre national de certification à "dégainer" aura finalement été celui de l'ANSSI. Il avait reçu l'accréditation du Cofrac le 28 mars, puis l'autorisation de certifier les produits relevant de trois domaines :

• Cartes à puce et dispositifs similaires
• Dispositifs matériels avec boîtiers de sécurité
• Produits réseaux ou logiciels génériques

Des produits déjà certifiés CSPN de près ou de loin

Les deux premiers certificats EUCC - au niveau élevé - ont été émis le 31 mars. Tous deux dans la catégorie des cartes à puce.

STMicroelectronics en bénéficie, au niveau EAL4 augmenté, pour ses microcontrôleurs ST54J (NFC + élément sécurisé) et ST54K (NFC + élément sécurisé + UWB), en version A07. La version A06 est déjà certifiée CSPN, jusqu'en mars 2029.

Thales en bénéficie, au niveau EAL5 augmenté, pour un micro-module destiné à être utilisé dans des tachygraphes électroniques (pour l'enregistrement des activités d'un véhicule de transport routier) ou dans des ordinateurs personnels (pour les opérations de contrôle de ces mêmes activités). Plus précisément, pour les versions 2.0.1 G et 2.0.1 H de Smart Tachograph G2, sur la plate-forme MultiApp - également certifiée CSPN.

Dans l'un et l'autre cas, l'évaluation s'est fondée sur d'anciennes versions de la norme de critères communs (la plus récente étant la 15408:2022)*. Concernant les mécanismes cryptographiques, l'ANSSI a identifié des non-conformités par rapport à son référentiel technique, mais pas de vulnérabilité exploitable pour le niveau d'attaquant visé.

Les certificats ont une durée de validité de 5 ans. Ils ne remplacent pas la CSPN.

* Une tolérance introduite par un amendement. Elle s'applique jusqu'à fin 2027.

Illustration © noah9000 - Adobe Stock