Discussion :

[Christian Olivier]

Intel veut une distribution Linux pouvant servir de solution de sécurité de référence
Aux systèmes où l’autonomie et la sécurité sont critiques

Il semblerait qu’Intel se soit « enfin » rendu compte que préserver la confidentialité et la sécurité des systèmes informatiques représente un enjeu vital au vu du contexte de cybercriminalité actuel. Il faut dire que l’entreprise n’a aucunement été épargnée par les révélations de ces derniers mois au sujet des vulnérabilités majeures qui touchent l’industrie des semi-conducteurs, notamment Spectre, Meltown et plus récemment L1TF et ses trois variantes. À cela on peut aussi ajouter les vulnérabilités critiques inhérentes au mystérieux IME (Intel Management Engine) que des constructeurs comme System76 préfèreraient voir disparaitre.

Certaines de ces vulnérabilités affectent l’industrie des semi-conducteurs depuis près de 20 ans et la majorité d’entre elles, sinon toutes, ont la fâcheuse tendance d’affecter l’ensemble des gammes de processeurs produits par Intel : des Xeon, en passant par les Core i jusqu’aux mémorables Pentium.

Dans un effort visant à mieux sécuriser les systèmes informatiques modernes, Intel a récemment fait part de son intention de créer un système d’exploitation basé sur Linux de référence pouvant faire office de solution conforme aux normes de sécurité.

La firme de Santa Clara a déclaré travailler actuellement sur « un projet open source pour répondre à ce besoin ». Baptisé Intel Safety Critical pour Linux, ce projet devrait permettre aux fabricants de systèmes où l’autonomie et la sécurité sont critiques de passer d’un système qui nécessite parfois des milliers de microcontrôleurs et d’unités de contrôle électroniques à un système qui tire parti de la puissance, des performances et de la sécurité d’une solution multicœur.

Ce projet sera basé sur le projet Clear Linux, Intel estimant que c’est la meilleure option, car le projet Clear Linux fournit un moyen avancé de développer et de distribuer un système d’exploitation conçu pour fournir :

• Un modèle de distribution binaire ;
• Paquets agrégés en « lots fonctionnels », permettant une mise à l’échelle efficace ;
• Mises à jour logicielles intégrées à l’architecture de distribution du système d’exploitation permettant une livraison plus rapide des correctifs critiques tels que les mises à jour de sécurité ;
• Contrôle de version du système d’exploitation à numéro unique qui garantit la reproductibilité et la traçabilité au niveau du fichier pour prendre en charge l’argumentation et la certifiabilité de la sécurité fonctionnelle ;
• Processus de production et de lancement hautement automatisé pour réduire les couts de développement, de déploiement, de prise en charge et de maintenance d’un système d’exploitation.

Intel estime que son projet Intel Safety Critical pour Linux pourrait simplifier la création de solutions plus sures en appliquant une rigueur de traçabilité au processus de sélection des composants open source qui comprend une analyse étendue et des tests ciblés. En outre, la distribution comprendra, au besoin, des composants développés selon une méthodologie de développement conforme aux normes.

Il serait intéressant de voir comment Intel, une entreprise technologique dont les produits de base (CPU) sont, pour l'heure, tout sauf des modèles en matière de sécurité, pourrait se débrouiller côté sécurité avec un OS Linux.

Source : 01

Et vous ?

Qu’en pensez-vous ?
Quel est votre avis sur la solution préconisée par Intel ?

Voir aussi

AMD pourrait vendre plus de CPU serveur dédiés au cloud computing, après le scandale des vulnérabilités matérielles touchant surtout les CPU Intel

Les processeurs Intel Xeon Cascade Lake vont inaugurer l'ère des protections intégrées contre Spectre sur les serveurs et les desktops

Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu'à 250 000 dollars afin d'éviter un nouvel épisode Meltdown

Microsoft publie des correctifs pour Foreshadow, une variante de Spectre, sur Windows 10 et Server 2016

[Asmodan]

Qu'en pense le créateur de Linux ? Je serais curieux d'avoir son avis.

[cirle78]

Comme si Linux était à l'abris de bug...

[mm_71]

Comme si Linux était à l'abris de bug...

Mais il faut moins de 20 ans pour les corriger.

[AndMax]

Qu'en pense le créateur de Linux ? Je serais curieux d'avoir son avis.

J'ignore ce qu'il pense de cette distribution (et de cette scandaleuse déclaration de Intel qui consiste à tenter de contourner un problème sans le résoudre), mais Linus s'est déjà exprimé à propos de correctifs proposés par Intel, et comme à son habitude, il ne mâche pas ses mots:
https://www.zdnet.com/article/spectr...rbage-patches/

Une fois de plus je suis très déçu par Intel. J'aurais préféré qu'ils rendent libre le micro-code de leurs CPU (et chipset), mais ils ne peuvent pas, puisque c'est truffé de vulnérabilités et de portes dérobées.

[LittleWhite]

J'ai lu la source. J'ai lu la news. Je ne comprends pas le lien. Dans la source mentionnée, il ne fait aucune mention des failles de sécurité des CPU (évidemment), il est indiqué qu'il y a un besoin de système très stable/sécurisé (sécurisé, pas au niveau de faille, mais sécurisé, pour de la sécurité des passagers, des hommes (sous entendu, voitures autonomes, drones...) et que Intel a démarré le développement d'un nouveau système Intel Safety Critical Project pour offrir une réponse à ce besoin. Projet qui est basé sur Clear Linux.
Mais en tout cas, dans l'article original, je n'ai vu aucune mention de sécurité au sens de faille permettant l'intrusion, mais plutôt, de sécurité (safety) pour les usagers (pour qu'il n'y ai pas de mort à déplorer).
Après, c'est mon interprétation. Peut être, je suis parti dans une mauvaise piste.

[chrtophe]

Il serait intéressant de voir comment Intel, une entreprise technologique dont les produits de base (CPU) sont, pour l'heure, tout sauf des modèles en matière de sécurité, pourrait se débrouiller côté sécurité avec un OS Linux.

Tout est dit.

Ca reste spéculatif, comme l’exécution de leurs processeurs.

[Jipété]

Mais en tout cas, dans l'article original, je n'ai vu aucune mention de sécurité au sens de faille permettant l'intrusion, mais plutôt, de sécurité (safety) pour les usagers (pour qu'il n'y ai pas de mort à déplorer).
Après, c'est mon interprétation. Peut-être, je suis parti dans une mauvaise piste.

J'ai lu aussi et je pense comme toi.
Intel n'en a rien à faire des problèmes de ses processeurs, ce qui est visé c'est un système (à terme utilisé par tous ceux concernés par ces environnements mixtes robots-humains) qui prenne en compte la sécurité des rapports inter-espèces, si je puis dire.

[tabouret]

J'ai lu la source. J'ai lu la news. Je ne comprends pas le lien. Dans la source mentionnée, il ne fait aucune mention des failles de sécurité des CPU (évidemment), il est indiqué qu'il y a un besoin de système très stable/sécurisé (sécurisé, pas au niveau de faille, mais sécurisé, pour de la sécurité des passagers, des hommes (sous entendu, voitures autonomes, drones...) et que Intel a démarré le développement d'un nouveau système Intel Safety Critical Project pour offrir une réponse à ce besoin. Projet qui est basé sur Clear Linux.
Mais en tout cas, dans l'article original, je n'ai vu aucune mention de sécurité au sens de faille permettant l'intrusion, mais plutôt, de sécurité (safety) pour les usagers (pour qu'il n'y ai pas de mort à déplorer).
Après, c'est mon interprétation. Peut être, je suis parti dans une mauvaise piste.

Y'a déjà suffisamment de distributions Linux stable que tu peux sécuriser à fond, pas besoin d'en créer une nouvelle je pense...

Je pense surtout que le bénéfice d'optimiser la rapidité d'un CPU au détriment de la sécurité et corriger les failles via l'OS est plus grand que celui de baisser la rapidité du CPU en corrigeant les failles et de laisser un OS quelconque tourner dessus.

[Edit]
Tu as tout à fait raison après avoir lu la source, il ne me semble pas qu'Intel veuille créer un nouvelle distribution/un nouvel OS/un OS existant patché.

[JPLAROCHE]

bonjour, est-ce que tu parle de ClearOS parce-que HP l'utilise mais j'avoue que j'ai pas aimé.... c'est très propriétaire .... j'ai d'ailleurs tout viré sur mon NAS Prolian 10 pour mettre une Debian très orienter OPENmediaVAULT et depuis plus d'un an jamais de problème , alors oui j'aime l'opensource cela ne veut pas dire gratuit (même si OMV est gratuit) quand je trouve que le travail est correct je participe en faisant un don (pas 5cts) ....
pour en revenir à l'article .... CLEAROS ou pas ????? merci de précisé

[Engiwip]

je trouve que c'est une superbe initiative pour une utilisation professionnelle et une vision intégration de solution !

l'OS sépare les couches utilisateur/ configuration systeme / system exploitation avec une vision "statelessOS" permettant d'eviter de fausse manip sur des fichiers systèmes

par exemple çà cache le repertoire fstab
https://clearlinux.org/blogs/where-etcfstab-clear-linux

description statelessOS https://clearlinux.org/features/stateless

Sinon les images sont incroyablement fit et possèdent le minimum necessaire pour en faire raisonnablement le tour sans se perdre dans un bouquin d'admin.
. avec 60Mb en image docker pour un system complet je la place entre une alpine linux et une debian slim
250 Mb pour un system dans desktop
https://download.clearlinux.org/image/


evidemment le cas d'utilisation premier est de dockeriser / virtualiser un environnement spécifique avec ses dépendances .

Installer docker sur cet distrib est un jeu d'enfant avec simplement
' swupd bundle-add containers-basic' et d'autre sucre syntaxique ce qui permet de monter un environnement tout dockerisé sur cette distrib.


il y a aussi un guide simple complet pour creer sa propre distrib ( il y a déja docker pour se simplifier la vie mais çà rajoute un cas d'usage en plus)
https://github.com/engiwip/how-to-clear

creer sa propre distrib fait sens pour les utilisateurs utilisant des systemes virtualisés à base de vmare ou vagrant pour le déploiement et qui ne veulent pas forcément installer docker et



je n'ai pas tout exploré mais je suis vraiment emballé par ce projet et l'ecosysteme.
l'OS permet de partir sur une base saine pour le developpeur et l'intégrateur de solution sans tout le surplus que peut rajouter une distrib classique dont le bagage systeme est nécessaire.

Je regrette juste le manque de mise en perspective de la valeur ajoutée que peut permettre ClearLinux car il y a des enjeux evident : sécurité , performance , simplicité , resolument tournée vers la virtualisation /conteneurisation.