Qubes OS
distribution Linux
From Wikipedia, the free encyclopedia
Qubes OS est un système d'exploitation (OS) orienté sécurité, qui vise à fournir la sécurité des systèmes d'information par l'isolement. Qubes OS est un logiciel libre, open-source et gratuit.
FondateurJoanna Rutkowska
| Qubes OS | |
|
| |
| |
| Plates-formes | X64 |
|---|---|
| Entreprise / Fondateur |
Joanna Rutkowska |
| Licence | Licence publique générale GNU version 2 |
| Première version | [1] |
| Dernière version stable | 4.3.0 ()[2] |
| Dernière version avancée | 4.2.2-rc1 ()[3] 4.2.3-rc1 ()[4] 4.2.4-rc1 ()[5] 4.3.0-rc1 ()[6] 4.3.0-rc2 ()[7] 4.3.0-rc3 ()[8] 4.3.0-rc4 ()[9] |
| Environnement de bureau | KDE Plasma, Xfce |
| Gestionnaire de paquets | RPM Package Manager |
| Site web | www.qubes-os.org |
modifier  |
|
Historique
Joanna Rutkowska et Rafal Wojtczuk commencent le développement de leur système en . La première version, Qubes OS 1.0, sort en 2012[10]. Le système est recommandé par Edward Snowden en 2016[11]. En , le système en est à sa version 3.2[12] et le c'est la version 4.0 qui voit le jour.
Objectifs
Qubes OS prend une approche appelée sécurité par la compartimentation[13] qui permet de compartimenter les différentes parties de l’activité numérique de l’utilisateur en compartiments isolés en toute sécurité appelés qubes.
Le concept sous-jacent est qu’aucun environnement ne peut être parfait et exempt de bogues, car le nombre de lignes de code et d’interactions entre le matériel et les logiciels est beaucoup trop important. Un seul bogue critique suffit alors à un logiciel malveillant pour maîtriser la machine[14],[15].
Pour protéger son ordinateur, l’utilisateur de Qubes OS doit veiller à compartimenter son activité, de façon que seules les données d’un compartiment soient touchées en cas de compromission par un logiciel malveillant[16].
La compartimentation de Qubes OS s’étend à deux niveaux. Au niveau matériel, les différents contrôleurs peuvent être isolés dans des domaines différents (pour le réseau, l’USB), tandis que les domaines des logiciels de l’utilisateur sont séparés et disposent de différents niveaux de confiance. Dans le paramétrage par défaut fourni à l'installation, le domaine de travail est ainsi jugé plus fiable que le domaine des achats en ligne, ou de la consultation de sites divers[17]. Chacun de ces domaines est exécuté dans une machine virtuelle distincte. L'utilisateur a toute liberté de conserver cette configuration par défaut ou de paramétrer librement ses qubes.
Qubes OS n’est pas multi-utilisateur[18].
Fonctionnement
La virtualisation est effectuée par l’hyperviseur Xen et les environnements utilisateur peuvent être basés sur Fedora, Debian, Whonix, Microsoft Windows et d'autres systèmes d'exploitation.
Aperçu de l'architecture du système
Hyperviseur Xen et domaine administratif (Dom0)
L'hyperviseur fournit une isolation entre les différentes machines virtuelles. Le domaine administratif, également appelé Dom0 (un terme hérité de Xen), a un accès direct à la totalité du matériel par défaut. Dom0 héberge le domaine GUI et contrôle le périphérique graphique, ainsi que les périphériques d'entrée, tels que le clavier et la souris. Le domaine GUI exécute le serveur X, qui affiche le bureau de l'utilisateur, et le gestionnaire de fenêtres, qui permet à l'utilisateur de démarrer et d'arrêter les applications et de manipuler leurs fenêtres.
L'intégration des différentes machines virtuelles est assurée par l'Application Viewer, qui fournit l'illusion à l'utilisateur que toutes les applications s'exécutent nativement sur le bureau, alors qu'en fait, elles sont hébergées (et isolées) dans différentes machines virtuelles. Qubes OS intègre toutes ces machines virtuelles dans un environnement de bureau commun.
Parce que Dom0 est primordial et prépondérant pour la sécurité, celui-ci est isolé du réseau. Il doit avoir le moins d'interface et de communication possible avec les autres domaines afin de minimiser la possibilité d'une attaque provenant d'une machine virtuelle infectée.
Le domaine Dom0 gère les disques virtuels des autres machines virtuelles, qui sont en fait stockés sous forme de fichiers sur le(s) système(s) de fichiers dom0. L'espace disque est sauvegardé grâce à diverses machines virtuelles (VM) partageant le même système de fichiers racine en mode « lecture seule ». Le stockage sur disque séparé n'est utilisé que pour le répertoire de l'utilisateur et les paramètres par VM. Cela permet de centraliser l'installation et les mises à jour du logiciel. Il est également possible d'installer le logiciel uniquement sur une machine virtuelle (VM) spécifique, en l'installant comme utilisateur avec des droits moindres que ceux du super-utilisateur, ou en l'installant dans la hiérarchie non standard, spécifique à Qubes OS, accessible en lecture-écriture.
Domaine réseau
La composante domaine réseau est la plus exposée aux attaques de sécurité. Pour contourner cela, cette composante est isolée dans une machine virtuelle séparée et non privilégiée, appelée le « domaine réseau ».
Une machine virtuelle « pare-feu » supplémentaire est utilisée pour héberger le pare-feu basé sur le noyau Linux, de sorte que même si le « domaine réseau » est compromis en raison d'une faille présente au niveau du pilote de périphérique, le pare-feu est toujours isolé et protégé (puisqu'il tourne dans un noyau Linux distinct dans une machine virtuelle (VM) distincte).
Principaux types de qubes (machines virtuelles) dans Qubes OS
Pour des raisons de sécurité, les applications sont regroupées dans différents domaines. Les domaines de sécurité sont implémentés en tant que qubes (machines virtuelles (VM)) séparés. Ces qubes sont isolés les uns des autres.
Chaque bordure de fenêtre applicative est marquée par une couleur. L'utilisateur choisit d'associer une couleur à un qube et peut, par exemple, utiliser cette couleur pour classer le niveau de risque associé. Par exemple : rouge pour le plus critique et vert pour le moins exposé.
Qubes applicatifs (AppVM)
Les « AppVM » sont les machines virtuelles utilisées pour exécuter les applications des utilisateurs et conserver (persister) des données ou des paramétrages associés (dossier /home). Ces applications peuvent être un navigateur Web, un client de messagerie électronique ou un éditeur de texte.
Les qubes applicatifs sont basés sur des qubes modèles.
Qubes modèles (Template)
Les qubes modèles permettent, entre autres, de figer et de protéger les applications par la persistance des dossiers critiques (tous les dossiers sauf /home) dans ce qube modèle. Lorsque l'utilisateur exécute une application dans un qube applicatif, les modifications qui peuvent être effectuées ne sont pas conservées après fermeture du qube applicatif. Seul le programme de mise à jour (géré dans dom0) et d'éventuelles modifications apportées dans le qube modèle peuvent être persistées dans ce qube modèle [19].
L'utilisation de ces qubes modèles permet en outre de consommer moins d'espace sur le disque dur dans la mesure où les qubes applicatifs, plus nombreux, ne stockent pas les dossiers système.
Qubes jetables (Disposable)
Certains documents ou applications peuvent être exécutés dans des machines virtuelles jetables grâce à une option disponible dans le gestionnaire de fichiers. Le mécanisme s'appuie sur l'idée des bacs à sable : après avoir visionné le document ou exécuté l'application, toute la VM jetable sera fermée et oubliée. L'ouverture dans un qube isolé et l'absence de persistance protègent contre de nombreuses menaces.
Hyperviseur de type 1 : différence avec les machines virtuelles (VM) lancées dans les systèmes d'exploitation conventionnels
Toutes les machines virtuelles ne sont pas identiques en matière de sécurité.
Les machines virtuelles utilisées dans la plupart des logiciels de virtualisation sont appelées machines virtuelles de type 2.
Qubes OS, quant à lui, utilise un hyperviseur de type 1 également connu sous le nom de Bare Metal, Xen. Il s'exécute directement sur le matériel, ce qui signifie qu'un attaquant doit trouver le moyen de corrompre et de détourner l'hyperviseur lui-même pour parvenir à mettre en danger l'ensemble du système, ce qui est beaucoup plus difficile.
Qubes OS permet de disposer du même confort que celui offert par un système d'exploitation conventionnel tout en bénéficiant de la sécurité découlant de plusieurs machines virtuelles fonctionnant sur un hyperviseur de type 1. Par exemple, toutes les fenêtres d'application sont placées sur le même bureau avec des bordures colorées qui peuvent indiquer les niveaux de confiance de leurs machines virtuelles (qubes) respectives. Il permet également des opérations de sauvegarde et de collage entre machines virtuelles, la copie et le transfert de fichiers entre celles-ci et une meilleure sécurisation des réseaux de communication entre celles-ci et avec l'Internet.
Distinctions
Le , Qubes OS est finaliste du prix Accès Innovation 2014 pour la solution Endpoint Security[20].
