Authentification des logiciels essentiels
6.1.1 Le SLE comporte un mécanisme permettant de vérifier l’intégrité des logiciels essentiels mis en production, en permanence ou avant que des changements soient mis en œuvre, de façon à ce que les logiciels approuvés soient utilisés sans changement non autorisé.
6.1.2 À tout le moins, le SLE est authentifié :
- immédiatement avant son démarrage;
- automatiquement à intervalles réguliers pendant son fonctionnement;
- avant le tirage de gros lots;
- sur demande par l’exploitant ou la CAJO.
6.1.3 La méthode d’authentification est fondée sur les pratiques exemplaires de l’industrie afin d’assurer sa sécurité et son intégrité. Un exemple de méthode d’authentification peut être le calcul des valeurs SHA 1 du logiciel par rapport à une liste maîtresse de signatures protégées, à savoir de valeurs SHA 1 cryptées.
6.1.4 Si la tentative d’autoauthentification échoue, le logiciel en cause passe en mode erreur, s’arrête de façon sécuritaire et avise l’exploitant. La CAJO est immédiatement avisée de la tentative d’authentification ratée et reçoit des précisions.
6.1.5 Les résultats de chaque tentative d’authentification sont consignés dans un rapport immuable accessible à la CAJO. Ce rapport contient une condition de réussite ou d’échec précisant les logiciels dont la tentative d’authentification a échoué.
6.1.6 Les fichiers modifiables, comme les paramètres de configuration, n’ont pas à faire l’objet des vérifications de logiciels exigées aux sections 6.1.1 et 6.1.2. Cependant, les paramètres essentiels sont configurables de façon à ne pas compromettre l’intégrité du jeu.
Autoauthentification des logiciels essentiels dans la mémoire volatile
6.1.7 Les composants des logiciels de jeu essentiels, sauf les composants graphiques et sonores, sont entièrement authentifiés au moment de leur chargement dans la mémoire effaçable électriquement ou volatile (avant leur exécution) et, à tout le moins, après chaque réinitialisation et chaque démarrage du terminal de loterie ou du terminal libre-service. Si un composant non valide est détecté, les fonctions touchées sont désactivées.
Authentification à distance des logiciels essentiels du point de vente de loterie
6.1.8 Le système administratif lance une authentification indépendante de tous les logiciels essentiels des terminaux de loterie et des terminaux libre-service après l’établissement initial d’une connexion avec le système. Quand le seuil de tentatives d’authentification échouées est atteint, le terminal de loterie ou le terminal libre-service est désactivé.
Intégrité des données essentielles sur le jeu
6.1.9 Le SLE assure l’intégrité des données essentielles sur le jeu afin que le jeu de loterie fonctionne comme prévu et soit vérifiable.
6.1.10 Le SLE emploie des méthodes pour détecter la corruption ou l’altération non autorisée des données essentielles sur le jeu afin de prévenir les problèmes d’intégrité.
6.1.11 La détection de données essentielles sur le jeu qui ont été corrompues ou altérées sans autorisation et qui sont irrécupérables cause l’interruption immédiate de la vente de billets de loterie aux terminaux de loterie et aux terminaux libre-service touchés et place le point de vente en mode erreur. La vente de billets de loterie ne reprend qu’une fois la situation corrigée.
6.1.12 L’intégrité des données essentielles sur le jeu stockées dans le terminal de loterie ou le terminal libre-service est assurée à l’aide d’une méthode qui permet la détection des défaillances ainsi que la sauvegarde et la récupération des données.
6.1.13 Il est possible d’extraire les données essentielles sur le jeu au terminal de loterie et au terminal libre-service par des procédures techniques restrictives sans contaminer les données sur le support de stockage d’origine.
6.1.14 Les données essentielles sur le jeu sont toujours effacées selon une procédure technique restrictive.
6.1.15 Les applications du terminal de loterie et du terminal en libre-service protègent l’intégrité de toutes les données essentielles sur le jeu stockées dans la mémoire essentielle à l’aide d’une méthode qui permet la détection des défaillances et la récupération des données. Si la récupération est impossible, les fonctions touchées du SLE passent en mode erreur, s’arrêtent de façon sûre et avisent l’exploitant.