Discussion :

[Michael Guilloux]

L'ANSSI publie en open source le code de CLIP OS, son système d'exploitation sécurisé
est-ce un bon candidat pour l'OS souverain français ?

CLIP OS, bon nombre de ceux qui connaissent cet OS ont en entendu parler en 2016 lorsque les députés ont adopté un amendement suggérant la création d'un OS souverain made in France, dans la cadre de la loi numérique. Par souverain, il faut surtout comprendre que l’OS devra permettre au pays d’avoir plus de contrôle sur ses données et d’être à l’abri de tout espionnage étranger. Autrement dit, un OS axé sur la sécurité pourrait faire l’affaire. Mais créer un OS souverain à partir de zéro aurait un coût très élevé en temps et en argent, à la charge du contribuable.

L'on s'est alors demandé si cet OS n'existait pas déjà. S'il existe, la sécurité devrait être un critère capital à remplir par cet OS, raison pour laquelle beaucoup ont pensé à CLIP, un système d’exploitation dit ultrasécurisé, développé par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) depuis 2005.

Initialement conçu et développé par l'ANSSI depuis 2005 pour répondre aux besoins des administrations, CLIP OS vient de passer en open source et son code est disponible sur GitHub. Deux versions du projet sont disponibles sur la célèbre plateforme d'hébergement de code source :

• une version pour archivage et référence : le code source et la documentation (en français) de la précédente version de CLIP OS (version 4) pour initier et faciliter les développements futurs ;
• une version pour proposer un développement collaboratif : le code source et la documentation (en anglais) de la version en cours de développement de CLIP OS (version 5).

L’objectif principal du projet est de construire un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de sensibilité. Et pour l’atteindre, le projet se base sur le noyau Linux et un ensemble de logiciels open source.

CLIP OS est basé sur Gentoo Hardened, un projet qui offre de nombreux services de sécurité qui s'ajoutent à l'installation bien connue de Gentoo Linux. La majeure partie du code source de CLIP OS est issue de projets open source (noyau Linux, suite de compilation GCC, etc.). De ce fait, l'ANSSI estime que ce n'est pas l'OS souverain dans le sens qu'il n'est pas purement made in France.

L'ANSSI affirme que certaines propriétés de sécurité présentes sur CLIP OS ne sont pas réalisables sur les autres OS disponibles publiquement. Il s'agit entre autres du support du multiniveau pour gérer des informations de plusieurs niveaux de sensibilité différents et d'un accès administrateur restreint en production, c'est-à-dire qu'un administrateur ne doit pas pouvoir compromettre un système déployé en production ni accéder aux données utilisateurs.

Le projet CLIP OS présente aussi des points communs avec Qubes OS, l'OS qui a volé la vedette à Tails aux yeux d'Edward Snowden. C'est surtout le cas en ce qui concerne les objectifs fonctionnels, mais les deux diffèrent sur des points comme le mécanisme principal d’isolation, ainsi que le rôle et le pouvoir d’un administrateur. Pour le mécanisme d'isolation, CLIP OS utiliserait une approche qui permet d’avoir un contrôle plus fin des échanges de données et des permissions. Pour ce qui est du rôle et du pouvoir d’un administrateur, l'ANSSI explique aussi que l'administrateur d’un système CLIP OS n’est pas en mesure de compromettre l’intégrité du système ni d’accéder aux données des utilisateurs. Il a à sa disposition uniquement un ensemble restreint d’options de configuration. Alors qu'avec Qubes OS, l’utilisateur principal de chaque machine virtuelle est aussi un administrateur de la machine virtuelle. Et l’administrateur système du cœur peut modifier la configuration et accéder à toutes les données utilisateur sans restrictions.

Il n’existe actuellement pas de version « prête à l’emploi » de CLIP OS pour les utilisateurs. Mais on pourrait s'attendre à une version stable de l'OS dans les mois à venir si la communauté se mobilise. L’ANSSI invite donc chacun à contribuer au développement et au durcissement du système d’exploitation.

Sources : ANSSI, CLIP OS 4 (GitHub), CLIP OS 5 (GitHub)

Et vous ?

Que pensez-vous de cette initiative d’ouverture du code de CLIP OS ?
CLIP OS est-il un projet prometteur selon vous ? Idéal pour être l’OS souverain français ?

Voir aussi :

Bercy publie le code source du calculateur de la taxe d'habitation, la DGFiP a choisi C comme langage, mais la qualité du code est remise en question
France : une élue relance la question d'un OS souverain, après avoir interpellé le gouvernement au sujet de l'omniprésence des GAFAM dans le pays
Sécurité : pourquoi l'OS open source Qubes OS a volé la vedette à Tails, et est présenté par Edward Snowden comme le meilleur aujourd'hui
Création d'un OS souverain français : un non-sens technologique, estime le responsable de la sécurité informatique de l'État
L'OS souverain pour la France existe-t-il déjà ? Faut-il partir d'un système existant ou partir de zéro ?

[Aiekick]

c'est pas un peu con de passer un truc "sécurisé" en open source ? rein n'est totalement securisé, si le code source n'est pas dispo et l'os pas grand publique, ca limite de beaucoup le hacking de cet os.

maintenant qu'il est dispo, ca va etre "easy" de trouver des bug, et faille zero day a exploiter....pourquoi ne peuvent t'ils pas garder leur outils secret ?

[intelligide]

c'est pas un peu con de passer un truc "sécurisé" en open source ? rein n'est totalement securisé, si le code source n'est pas dispo et l'os pas grand publique, ca limite de beaucoup le hacking de cet os.

maintenant qu'il est dispo, ca va etre "easy" de trouver des bug, et faille zero day a exploiter....pourquoi ne peuvent t'ils pas garder leur outils secret ?

On est bien en 2018 ? Si oui, je m'étonne qu'on peut encore penser ça !

Donc, une fois pour toutes,

Ce n'est pas parce que c'est propriétaire que c'est sécurisé et vice versa !

Un logiciel open source est certes plus exposé à la recherche de faille par les black hats (les méchants hackers) mais il est tout aussi exposé aux white hats (les chercheurs en sécurité, etc...) qui peuvent d'eux même proposé un patch. Un programme open source à l'avantage de pouvoir être patché très rapidement car une entreprise n'a pas forcèment besoin de mettre une équipe sur le fix pendant 1 semaine, les chercheurs ou la communauté peuvent s'en charger !

Donc un logiciel propriétaire est moins exposé et moins réactif, et un logiciel open source est plus exposé et beaucoup plus réactif.

Et puis, il n'y a pas besoin de code source pour trouver des failles (cc Flash )

[Aiekick]

On est bien en 2018 ? Si oui, je m'étonne qu'on peut encore penser ça !

Donc, une fois pour toutes,

Ce n'est pas parce que c'est propriétaire que c'est sécurisé et vice versa !

Un logiciel open source est certes plus exposé à la recherche de faille par les black hats (les méchants hackers) mais il est tout aussi exposé aux white hats (les chercheurs en sécurité, etc...) qui peuvent d'eux même proposé un patch. Un programme open source à l'avantage de pouvoir être patché très rapidement car une entreprise n'a pas forcèment besoin de mettre une équipe sur le fix pendant 1 semaine, les chercheurs ou la communauté peuvent s'en charger !

Donc un logiciel propriétaire est moins exposé et moins réactif, et un logiciel open source est plus exposé et beaucoup plus réactif.

Et puis, il n'y a pas besoin de code source pour trouver des failles (cc Flash )

justement avant qu'il n'e parle est ce que tu connaissais son existence ????

[Aiekick]

On est bien en 2018 ? Si oui, je m'étonne qu'on peut encore penser ça !

Donc, une fois pour toutes,

Ce n'est pas parce que c'est propriétaire que c'est sécurisé et vice versa !

Un logiciel open source est certes plus exposé à la recherche de faille par les black hats (les méchants hackers) mais il est tout aussi exposé aux white hats (les chercheurs en sécurité, etc...) qui peuvent d'eux même proposé un patch. Un programme open source à l'avantage de pouvoir être patché très rapidement car une entreprise n'a pas forcèment besoin de mettre une équipe sur le fix pendant 1 semaine, les chercheurs ou la communauté peuvent s'en charger !

Donc un logiciel propriétaire est moins exposé et moins réactif, et un logiciel open source est plus exposé et beaucoup plus réactif.

Et puis, il n'y a pas besoin de code source pour trouver des failles (cc Flash )

c'est malheureux qu'en 2018 il y aient encore des gens incapable de comprendre deux simple phrases. ou tu voit que je dit qu'un soft propriétaire est plus sécurié qu'un soft open source ?

Vous etes gentils tout ce que vous en étes mais avez vous vraiment compris le sens de mon propos ou vous avez juste lu les 1er mots ?

je sais très bien ce que veut dire sécurité informatique, mais avez vous réfléchis par vous méme ou vous êtes juste d'accord avec les grandes diatribe qu'on apprends a l'école sur la sécurité informatique ?

je serais d'accord avec vous s'il s’agissait de soft grand publics largement diffusés, hors ici qui connaissait l’existence de cet os avant qu'ils le mettent en open source ?

rien n'est sécurisé a vie, quoi qu'il arrive tout système est voué a tomber. vous penser que parce qu'il est open source, on va le sécuriser plus. maintenant les pirates savent que cet os qui ce veut sécurise est utilisé par les administration françaises, et qu'il ya donc du fric a ce faire en le cassant, vous pensez que des qu''on va découvrir une faille on va la corriger, ou plutôt la garder secrète et la vendre au plus offrant ? l'open source, c'est bien plus souvent l'anarchie que l'ordre.

en plus la la base du systeme qui est gentoo est déjà open source, a quoi ca sert d'en plus livrer la surcouche applicative ?

moi je me suis fait un gestionnaire de mot de passe, que j'utilise depuis plus de 15 ans. je ne le mettrais jamais open soruce, car s'il était open source et qu'en plus ils soient utilisé par beaucoup de personne, il deviendrait une cible pour les pirates. le jour on je me prendrais un trojan un virus ou un rootkit (ce qui n'est qu'un question de temps) je limite la casse, car il ne sauront pas quoi chercher. mais surement qu'il a des failles, ceci étant avec une intrusion je pense être plus tranquille avec mon soft privé, qu'avec un soft largement répandu.

Donc un logiciel propriétaire est moins exposé et moins réactif, et un logiciel open source est plus exposé et beaucoup plus réactif.

ha tu sort ca d'ou qu'un logiciel open source est plus réactif ? faudrais t'il encore qu'il intéresse les gens. au contraire quand il s'agit d'attendre un patch,
il faut être extrêmement patient. bien souvent on paye le prix de l'open source et du bénévolat de ses participants, qui travaille sur les heures du soir.

tu crois que si wordpress était une technologie utilisé que par la boite qu'i l’a crée, elle intéresserait les pirates ? et qu'il aurait prit du temps a le casser ? a quoi ca sert de casser une techno qui ne touche pas beaucoup de gens.
pouruqoi tu crois que windows est plus touché que linux en virus et compagnie ? tu crois vraiment que c'est parce que linux est open source ? et je ne parle pas de serveurs sous linux, mais de la version desktop.

si vous regardez openssl, le fait qu'il soit open soruce n'a pas empêché qu'on se prenne dans la tronche les faille. a chaque fois les failles les plus grave ont été colmatés après qu'elles aient été utilisées.
si c'est pareil avec cet os, je ne suis pas pour qu'il soit open source.

plutot que me citer flash et autre joyeuseté massivement repandue, avec vous des argument à faire valoir avec justement des soft qui ne sont pas du tout grand publics et/ou largement diffusés ?

[benjani13]

plutot que me citer flash et autre joyeuseté massivement repandue, avec vous des argument à faire valoir avec justement des soft qui ne sont pas du tout grand publics et/ou largement diffusés ?

Tu ne prend en compte qu'un modèle d'attaque, celui ou j'ai la connaissance d'une faille et je tente de l'exploiter sur un maximum de cibles. Du coup je cherche des vulnérabilités sur des logiciels très rependus. Tu oublies les attaques ciblés, celle où tu part d'une cible unique bien identifié (une entreprise, une personnalité), et tu cherches un moyen de la compromettre. Sur ce modèle de menace je t'assure que ce que tu promeus ne tiens pas.

Pour le dire autrement, tu considères l'exposition d'une cible uniquement comme la popularité du logiciel qu'elle utilise. Or il faut considérer l'exposition comme la popularité du logiciel ET la popularité de la cible (dans la popularité j'inclue le fait que la cible soit connu ou non, qu'il y ait un fort intérêt à la compromettre ou non, etc). La donne change. Prend une grande entreprise qui utilise des logiciels inconnus, elle aura tout de même un fort risque d'être compromise.

Quand j’audite des applis la plupart du temps elles sont dans le cas de ton password manager, des applis développées en interne (donc qu'ils sont seuls à utiliser), ou des logiciels achetés mais très spécifiques et inconnus. Ils n'existent pas de vulnérabilités connus sur ces logiciels de fait. Cela n'empêche pas moi qui joue l'acteur malveillant ciblant l'entreprise (mon client), d’arriver à mes fins, souvent de façon (honteusement) trop simple. Une personne ciblant mon client, qui obtient un accès au réseau interne (ce qui est très simple), aura aucun mal à identifier les applications qui sont utilisées, à les exfiltrer pour les analyser et y trouver des failles. J'ai même eu un cas d'une appli codée en interne avec une usine logicielle quasi inconnue (solution propriétaire, aucune info potable dessus sur internet), dans un langage lui même quasi inconnu tournant sur une pseudo VM quasi inconnue. Ça m'a pris deux jours pour comprendre comment marche la techno utilisée (j'ai même du perdre du temps à cracker la licence de l'usine logicielle/VM en question) et réussir à brancher des outils dessus, ensuite c'était plié.

[Aiekick]

Tu ne prend en compte qu'un modèle d'attaque, celui ou j'ai la connaissance d'une faille et je tente de l'exploiter sur un maximum de cibles. Du coup je cherche des vulnérabilités sur des logiciels très rependus. Tu oublies les attaques ciblés, celle où tu part d'une cible unique bien identifié (une entreprise, une personnalité), et tu cherches un moyen de la compromettre. Sur ce modèle de menace je t'assure que ce que tu promeus ne tiens pas.

Pour le dire autrement, tu considères l'exposition d'une cible uniquement comme la popularité du logiciel qu'elle utilise. Or il faut considérer l'exposition comme la popularité du logiciel ET la popularité de la cible (dans la popularité j'inclue le fait que la cible soit connu ou non, qu'il y ait un fort intérêt à la compromettre ou non, etc). La donne change. Prend une grande entreprise qui utilise des logiciels inconnus, elle aura tout de même un fort risque d'être compromise.

Quand j’audite des applis la plupart du temps elles sont dans le cas de ton password manager, des applis développées en interne (donc qu'ils sont seuls à utiliser), ou des logiciels achetés mais très spécifiques et inconnus. Ils n'existent pas de vulnérabilités connus sur ces logiciels de fait. Cela n'empêche pas moi qui joue l'acteur malveillant ciblant l'entreprise (mon client), d’arriver à mes fins, souvent de façon (honteusement) trop simple. Une personne ciblant mon client, qui obtient un accès au réseau interne (ce qui est très simple), aura aucun mal à identifier les applications qui sont utilisées, à les exfiltrer pour les analyser et y trouver des failles. J'ai même eu un cas d'une appli codée en interne avec une usine logicielle quasi inconnue (solution propriétaire, aucune info potable dessus sur internet), dans un langage lui même quasi inconnu tournant sur une pseudo VM quasi inconnue. Ça m'a pris deux jours pour comprendre comment marche la techno utilisée (j'ai même du perdre du temps à cracker la licence de l'usine logicielle/VM en question) et réussir à brancher des outils dessus, ensuite c'était plié.

merci pour tes arguments, ils ont fait mouche. Effectivement je parlais dans mon cas de figure, cad un gars lambda noyé dans la masse.
mais je me dit aussi que dans le cas d'un attaque ciblé, même le meilleur logiciel ne tient pas. Alors oui un soft open source, qui a "été bien traités" peux mieux résister aux découvertes de failles, mais ne sera t'il pas non plus plus simple de rechercher des failles complexe qui peuvent passer inaperçues ayant accès au code source ?

[Neckara]

je serais d'accord avec vous s'il s’agissait de soft grand publics largement diffusés, hors ici qui connaissait l’existence de cet os avant qu'ils le mettent en open source ?

Moi, ainsi que quelques collègues.

L'ANSSI faisant des conférences et contribuait à des projets Open Sources, bien avant que Clip OS passe lui-même en Open Source.

rien n'est sécurisé a vie, quoi qu'il arrive tout système est voué a tomber.

Ce qui ne veut pas dire que tous les logiciels/OS se valent en terme de sécurité.

en plus la la base du systeme qui est gentoo est déjà open source, a quoi ca sert d'en plus livrer la surcouche applicative ?

Clip OS n'est pas une surcouche applicative. Notamment, il comporte des patchs du noyau Linux, des modification de drivers, etc. permettant la construction d'une architecture d'isolation bien plus poussée que les technologies existantes.

vous pensez que des qu''on va découvrir une faille on va la corriger, ou plutôt la garder secrète et la vendre au plus offrant ?

Cela dépend bien évidemment de la personne qui va découvrir la faille. Si c'est un "utilisateur", il a intérêt à la signaler plutôt qu'à la vendre.

moi je me suis fait un gestionnaire de mot de passe, que j'utilise depuis plus de 15 ans. je ne le mettrais jamais open soruce, […]

Non seulement tu réinventes la roues, mais en plus tu fais de la sécurité par l'obscurité, ce qui est considéré comme obsolète depuis déjà plusieurs années. En cas d'intrusion, il suffira à l'attaquant de tester les erreurs les plus répandues, ce qu'il va très facilement réussir.

ha tu sort ca d'ou qu'un logiciel open source est plus réactif ?

M$ il a fallu parfois attendre 6 mois avant qu'un patch sort, Linux, ça sort en 1 jour.

faudrais t'il encore qu'il intéresse les gens. au contraire quand il s'agit d'attendre un patch,
il faut être extrêmement patient.

Si tu attends autant, c'est que le patch n'est pas si sensible que cela.
Sachant que si le patch est vraiment important pour toi, tu peux même l'appliquer toi-même, c'est l'un des grands avantages de l'Open Source.

tu crois que si wordpress était une technologie utilisé que par la boite qu'i l’a crée, elle intéresserait les pirates ? et qu'il aurait prit du temps a le casser ? a quoi ca sert de casser une techno qui ne touche pas beaucoup de gens.

Ça sert à quoi de réinventer continuellement la roue ?
Tu vas aussi recoder ton propre interpréteur PHP avec ton propre serveur web (tournant sur ton propre OS ofc) ?
Tu vas passer 2 ans pour sortir quelque chose de moins performant, plus boguée, que les attaquant se feront un plaisir de démonter en utilisant des failles connues de type injections SQL, etc. ?

pouruqoi tu crois que windows est plus touché que linux en virus et compagnie ? tu crois vraiment que c'est parce que linux est open source ? et je ne parle pas de serveurs sous linux, mais de la version desktop.

Ce qui est marrant parce que Linux est largement plus répandu que Windows si tu inclus les serveurs, l'embarqué, et les mobiles.

D'ailleurs, hacker des serveurs me semble plus intéressant que de hacker des desktop.

si vous regardez openssl, le fait qu'il soit open soruce n'a pas empêché qu'on se prenne dans la tronche les faille. a chaque fois les failles les plus grave ont été colmatés après qu'elles aient été utilisées.

Mais elles ont été colmatés, on ne peut pas en dire de même pour tout…

plutot que me citer flash et autre joyeuseté massivement repandue, avec vous des argument à faire valoir avec justement des soft qui ne sont pas du tout grand publics et/ou largement diffusés ?

Moi j'ai l'exemple d'un site qui n'utilise pas de CMS, et qui est utilisé par peu de monde…
Mots de passes stockés en clairs, HTTPS non-supportés, mots de passes alpha-numériques de 4 caractères minimum, mots de passes tronqués, etc.

[Aiekick]

Non seulement tu réinventes la roues, mais en plus tu fais de la sécurité par l'obscurité, ce qui est considéré comme obsolète depuis déjà plusieurs années. En cas d'intrusion, il suffira à l'attaquant de tester les erreurs les plus répandues, ce qu'il va très facilement réussir.

Peux tu preciser ce que tu entends par "En cas d'intrusion, il suffira à l'attaquant de tester les erreurs les plus répandues, ce qu'il va très facilement réussir."

s'il ne sait pas que mon soft existe comment peut t'il le trouver et encore moins trouver les data's a part scanner tout le disque ?

pour en revenir a ce que je disais, oui je reinviente la roue, mais je m'isole de la masse, et je ne suis plus une cible, car les pirates cherche la rentabilité il vont créer des outils pour hacker le plus grand nombre et c'est en ce sens qu'utiliser un système sensible massivement utilisé est dangereux, evidemment pour un outil normalisé et exposé car accessible (comme un systeme d'exploitation) ce n'est pas applicable.

[kinaesthesia]

Toi tu n'as rien compris à la sécurité informatique justement ...

[gros_rougeot]

Suis toujours dubitatif face aux "grands projets informatiques français". Des centaines de millions sont dépensés et le machin finit au fond d'une poubelle. Au passage, de grands groupes se sont gavés d'argent public et ont pondu une grosse daube. La liste d'exemple est très très longue. Pour n'en citer qu'un : Louvois.

La France n'est pas la Chine, ni la Russie, comment peut elle imposer un OS à part à quelques administrations ?

En plus du cout de développement, déploiement, maintenance .... rien qu'en formation des agents publics ca couterait un pognon de dingue.

[Neckara]

Suis toujours dubitatif face aux "grands projets informatiques français". Des centaines de millions sont dépensés et le machin finit au fond d'une poubelle.

Clip OS est utilisé, mais pas de manière publique.

Principalement pour des postes très sensibles où les besoins en sécurité sont très importants, donc pas pour le poste de Mme Michu.

[benjani13]

Suis toujours dubitatif face aux "grands projets informatiques français". Des centaines de millions sont dépensés et le machin finit au fond d'une poubelle. Au passage, de grands groupes se sont gavés d'argent public et ont pondu une grosse daube. La liste d'exemple est très très longue. Pour n'en citer qu'un : Louvois.

Le projet CLIP OS est basé sur Linux, il n'est évidemment pas réalisé from scratch. Il est de plus réalisé en interne (et vu les salaires à l'ANSSI on est bien loin des centaines de millions dépensés). cela n'a rien à voir avec les projets pharaoniques délégué à des grosses SSII.

La France n'est pas la Chine, ni la Russie, comment peut elle imposer un OS à part à quelques administrations ?

Et bha justement le public visé de CLIP OS sont les administrations (et pas tous le monde, les personnes traitant des documents sensibles), et par extension de la publication en open source, de qui veut l'utiliser. Arrêtez de faire le rapprochement avec l' "OS Souverain", CLIP OS n'a pas pour but de devenir l'OS des petit(e)s française(s), et est antérieur aux déclarations des députés/ministres.

[onilink_]

Elle n'impose rien, c'est justement pour les administrations a la base.
Après ça serait cool si c'était utilisé dans les écoles etc, pour que les gamins puissent s'habituer a une base linux plutôt que windows.

Imagine quand même que la majorité des administrations tournent sous windows, et parfois même (en France je ne sais pas, mais ça s'est vérifié dans pas mal de pays, des hôpitaux aussi) windows XP!
Alors outre la partie sécurité, faut prendre en compte deux choses:
- le coût des licences, qui est absolument énorme a chaque fois qu'il faut migrer un parc entier
- le contrôle de microsoft (et eux ils s'y connaissent en backdoors et autres conneries, cf les clé de chiffrement qui étaient envoyées directement sur leurs serveurs)

Bref, pour moi c'est une très bonne chose qu'ils aient fait ça. Surtout qu'ils ont pas été assez cons pour repartir de zéro. Rien que la base linux et le côté open source ça montre que le projet est bien plus que crédible.
J'espère juste qu'il seront pas aussi stupides que Munich, et que s'ils font une transition, qu'ils s'y tiennent.

[redcurve]

Elle n'impose rien, c'est justement pour les administrations a la base.
Après ça serait cool si c'était utilisé dans les écoles etc, pour que les gamins puissent s'habituer a une base linux plutôt que windows.

Imagine quand même que la majorité des administrations tournent sous windows, et parfois même (en France je ne sais pas, mais ça s'est vérifié dans pas mal de pays, des hôpitaux aussi) windows XP!
Alors outre la partie sécurité, faut prendre en compte deux choses:
- le coût des licences, qui est absolument énorme a chaque fois qu'il faut migrer un parc entier
- le contrôle de microsoft (et eux ils s'y connaissent en backdoors et autres conneries, cf les clé de chiffrement qui étaient envoyées directement sur leurs serveurs)

Bref, pour moi c'est une très bonne chose qu'ils aient fait ça. Surtout qu'ils ont pas été assez cons pour repartir de zéro. Rien que la base linux et le côté open source ça montre que le projet est bien plus que crédible.
J'espère juste qu'il seront pas aussi stupides que Munich, et que s'ils font une transition, qu'ils s'y tiennent.

L'état peut très bien demander les sources de windows et faire une version custom. Concernant les backdoors dans windows ... il faudrait arrêter les légendes urbaines 5 minutes.

[KsassPeuk]

J'ai toujours un peu de mal avec l'idée comme quoi ce serait complètement impensable et inutile de réécrire des systèmes d'exploitation from scratch (NB: j'ai bien compris qu'ici ce n'est pas le cas, je parle juste des commentaires généraux qui vont avec). Des systèmes comme Linux sont beaucoup trop gros et complexes pour que l'on espère donner la moindre vraie garantie de sécurité à son sujet. Donc heureusement qu'il y a des projets qui visent à construire des systèmes beaucoup plus sûrs en reprenant des briques développées from scratch et bâtissant par dessus. Par exemple avec les projets qui sont produits chez OrangeLabs et qui se basent sur des briques comme seL4 pour obtenir des garanties fortes de sécurité. Alors ouais, évidemment, c'est un boulot de malade et ça prendra des dizaines d'années, mais prétendre que c'est inutile est complètement absurde : nos systèmes sont pourris de bugs, alors si on peut construire mieux, il faut essayer. Et il y a un paquet d'acteurs dans le monde qui s'y attellent.

[benjani13]

J'ai toujours un peu de mal avec l'idée comme quoi ce serait complètement impensable et inutile de réécrire des systèmes d'exploitation from scratch (NB: j'ai bien compris qu'ici ce n'est pas le cas, je parle juste des commentaires généraux qui vont avec). Des systèmes comme Linux sont beaucoup trop gros et complexes pour que l'on espère donner la moindre vraie garantie de sécurité à son sujet. Donc heureusement qu'il y a des projets qui visent à construire des systèmes beaucoup plus sûrs en reprenant des briques développées from scratch et bâtissant par dessus. Par exemple avec les projets qui sont produits chez OrangeLabs et qui se basent sur des briques comme seL4 pour obtenir des garanties fortes de sécurité. Alors ouais, évidemment, c'est un boulot de malade et ça prendra des dizaines d'années, mais prétendre que c'est inutile est complètement absurde : nos systèmes sont pourris de bugs, alors si on peut construire mieux, il faut essayer. Et il y a un paquet d'acteurs dans le monde qui s'y attellent.

Premièrement il ne faut pas confondre le noyau Linux du système d'exploitation complet (noyau + suite logiciel), on est pas sur les même échelle de taille. Et même si le noyau Linux est costaud, des noyau minimalistes existent, de plus le noyau est modulaire et peut donc être retranché de ce qui n'est pas nécessaire.

Rien ne prouve que si l'ANSSI recodait un noyau from scratch il y aurait moins de bugs que dans un autre noyau actuel. J'aurais tendance à dire qu'il y en aurait bien plus, car un noyau comme Linux a subit des dizaines d'années de tests, avec une exposition bien plus forte. Il y a tout de même la possibilité de créer de nouveaux noyaux basé sur des langages modernes favorisant moins les failles dont on en entend parler de temps en temps et qui serait surement intéressant à étudier.

Je pense en tout cas que ce n'est pas du côté de l'OS qui faut chercher à faire maison, mais du côté du hardware. Il serait intéressant de chercher ce que l'ANSSI conseille comme hardware.

Concernant le choix d'une base Windows, d'un point de vue simple pratique il sera bien plus aisé de partir sur une base Linux. Même si des personnes ont beaucoup écrit sur le sujet (notamment les livres Windows Internals, la bible du fonctionnement de Windows), on a beaucoup moins de ressources sur le noyau de Windows, de fait cela demandera plus de temps pour comprendre son fonctionnement avant de pouvoir bosser dessus. Et il faut aussi penser à la suite d'outillage qui sera nécessaire à découvrir pour la compilation, les tests, etc...

Il y a encore 8 ans j'aurais compris ton discours ! mais aujourd'hui ce n'est plus une légende urbaine !

Des sources?

[intelligide]

Des sources?

Snowden, PRISM

[KsassPeuk]

Premièrement (1) il ne faut pas confondre le noyau Linux du système d'exploitation complet (noyau + suite logiciel), on est pas sur les même échelle de taille. Et même si le noyau Linux est costaud, des noyau minimalistes existent, de plus le noyau est modulaire et peut donc être retranché de ce qui n'est pas nécessaire.

(2) Rien ne prouve que si l'ANSII recodait un noyau from scratch il y aurait moins de bugs que dans un autre noyau actuel. J'aurais tendance à dire qu'il y en aurait bien plus, car un noyau comme Linux a subit des dizaines d'années de tests, avec une exposition bien plus forte. Il y a tout de même la possibilité de créer de nouveaux noyaux basé sur des langages modernes favorisant moins les failles dont on en entend parler de temps en temps et qui serait surement intéressant à étudier.

(1) L'abus de langage est plus ou moins admis, surtout que là il n'a aucune importance sur le résultat final : les 16 MLOC qui composent le noyau restent impossible à vérifier. Et même les versions minimalistes restent du gros code legacy sur lequel on n'aurait aucune chance de produire une garantie de conformité.

(2) J'ai cité un micro-noyau dont on a la preuve qu'il a moins de chance d'avoir des bugs que la sous-partie de Linux à laquelle ça correspond : on a une preuve formelle de correction. Et bâtir des composants vérifiés aussi par dessus, c'est tout à fait possible c'est en cours dans plein d'organismes. Et avec des méthodes autrement plus fiables que du test ...

Après, pour le hardware, je suis clairement d'accord, mais ça ne veut pas dire qu'il n'y a rien à faire sur le soft.

[J@ckHerror]

L'état peut très bien demander les sources de windows et faire une version custom. Concernant les backdoors dans windows ... il faudrait arrêter les légendes urbaines 5 minutes.

Il y a encore 8 ans j'aurais compris ton discours ! mais aujourd'hui ce n'est plus une légende urbaine ! Et demain es-tu sur que ce ne sera pas une légende ??? quelles garanties as tu ? les US sont nos copains, microsoft n'a pas d'interet a backdoorer ces system ???

Nous parlons ici de system spécifique, extrêmement sensible et stratégique ! Ils ont raison de se prémunir de tous risques, je ne suis pas protectionniste ni souverainiste, mais a un tel niveau de responsabilité, aucun risque n'est permis, et il est bien grand temps que les services d'états sensibles prennent conscience qu'il ne pourront jamais faire confiance à une société privée qui a par nature des objectives bien différentes de ces services d'états....

J@cK.