Qubes OS : un domaine sécurisé

Aujourd’hui, l’informatique est présent partout, que ce soit dans le milieu professionnel ou personnel. Dans ce domaine, un mot revient de plus en plus : sécurité. Effectivement, même si la sécurité du système d’information s’améliore, la plupart des systèmes restent de vrais gruyères, heureusement pas tous.

 

Qubes OS est un système sécurisé qui est porté par Joanna Rutkowska qui après avoir imaginé une attaque informatique qui à permit de découvrir de nombreuses failles sur Windows Vista: l’attaque Blue Pill (Pillule bleu).

 

Elle utilisait la mémoire d’un périphérique se trouvant sur l’ordinateur, (firmware, disque dur etc) dans lequel elle stockait un OS. L’OS à l’intérieur de cette mémoire va se comporter comme une machine virtuelle dans lequel votre propre OS va tourner, du coup quand vous lancer votre OS tout semble normal mais en réalité votre système tourne dans une OS qui se trouve dans la mémoire d’un de vos périphériques, vous ne vous apercevez de rien mais cet au OS peut espionner tout ce que vous faite sans se faire détecter par l’antivirus qui sont limité par l’OS.

 

En partant de cet état de fait, si le fait de faire tourner une machine virtuelle dans une mémoire d’un périphérique est une faiblesse, cela peut devenir d’une force si l’on fait tourner absolument tous les processus dans des machines virtuelles. En partant de ce principe, Joanna développa son projet qui vit sa première version sortir en 2012.

 

Qubes OS est donc un OS basé sur la virtualisation dans lequel chaque VM est isolée par rapport aux autres et où chaque fonctionnalité tourne de façon indépendante.

 

Il est basé sur Xen (un hyperviseur de type 1), dont les particularités sont d’utiliser un micro-noyau et de sécuriser par l’isolation. Il permet de faire tourner différents système d’exploitation que ce soit du Fedora, du debian, ou même du Windows dans des VMs cloisonné.

 

Les VMs pour les services sont les suivantes :

  • Le stockage : contient le nécessaire concernant la gestion de fichier, c’est lui qui a accès et contient les pilotes de gestion des media de stockage (disque dur, clef usb, CD/DVD…)
  • Le réseau : il a accès au matériel réseau ainsi qu’aux pilotes.
  • L’administratif (dm0) héberge l’interface graphique «sécurisée» et le logiciel de gestion de VM et a accès à l’écran ainsi que clavier et à la souris.

 

Par défaut, Qubes OS installe l’hyperviseur Xen, trois VM pour ses services et trois domaines pour les applications utilisateur. Cette isolation entre les VM permet aussi d’avoir différentes configurations réseaux ou offline sur un même ordi, gérées par des netVM et administrées sur un même manager.

Niveau visuel, Qubes Os affiche tous les logiciels ouvert sur un même bureau (KDE) basé sur fedora. Les fenêtres sont distinguables par couleur.

Le vert est destiné aux applications professionnelles : le navigateur Web pour l’intranet, et le surf professionnel, et le client email/bureautique pour les documents et échanges professionnels uniquement.
Le jaune est plutôt destiné pour les activités personnelles : «social networking», email personnel, documents divers, photos, etc.
Le rouge est destiné aux activités à risque comme le surf aléatoire, le téléchargement de films de vacances / de musique libre de droits, messagerie instantanée, jeux dans le navigateur, l’installation de logiciels de source peu sure, etc.

 

Qubes OS implémente aussi le concept de DisposableVM : pour ouvrir un fichier peu sur (au hasard, par exemple un pdf reçu par email), il est possible de le lancer dans une VM jetable grâce à un menu disponible en faisant un clic secondaire. Une fois le document lu, la VM est supprimée.

 

En conclusion, cet OS est actuellement un exemple en termes de sécurité. Bien entendu, il n’est pas forcément utilise à tout le monde mais est très prisé par le milieu activiste.

Cet article comporte 1 commentaire

Répondre à Bablofil Annuler la réponse au commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *