L'ANSSI publie en open source le code de CLIP OS, son système d'exploitation sécurisé,
Est-ce un bon candidat pour l'OS souverain français ?

Le , par Michael Guilloux

175PARTAGES

23  1 
CLIP OS, bon nombre de ceux qui connaissent cet OS ont en entendu parler en 2016 lorsque les députés ont adopté un amendement suggérant la création d'un OS souverain made in France, dans la cadre de la loi numérique. Par souverain, il faut surtout comprendre que l’OS devra permettre au pays d’avoir plus de contrôle sur ses données et d’être à l’abri de tout espionnage étranger. Autrement dit, un OS axé sur la sécurité pourrait faire l’affaire. Mais créer un OS souverain à partir de zéro aurait un coût très élevé en temps et en argent, à la charge du contribuable.

L'on s'est alors demandé si cet OS n'existait pas déjà. S'il existe, la sécurité devrait être un critère capital à remplir par cet OS, raison pour laquelle beaucoup ont pensé à CLIP, un système d’exploitation dit ultrasécurisé, développé par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) depuis 2005.


Initialement conçu et développé par l'ANSSI depuis 2005 pour répondre aux besoins des administrations, CLIP OS vient de passer en open source et son code est disponible sur GitHub. Deux versions du projet sont disponibles sur la célèbre plateforme d'hébergement de code source :

  • une version pour archivage et référence : le code source et la documentation (en français) de la précédente version de CLIP OS (version 4) pour initier et faciliter les développements futurs ;
  • une version pour proposer un développement collaboratif : le code source et la documentation (en anglais) de la version en cours de développement de CLIP OS (version 5).

L’objectif principal du projet est de construire un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de sensibilité. Et pour l’atteindre, le projet se base sur le noyau Linux et un ensemble de logiciels open source.

CLIP OS est basé sur Gentoo Hardened, un projet qui offre de nombreux services de sécurité qui s'ajoutent à l'installation bien connue de Gentoo Linux. La majeure partie du code source de CLIP OS est issue de projets open source (noyau Linux, suite de compilation GCC, etc.). De ce fait, l'ANSSI estime que ce n'est pas l'OS souverain dans le sens qu'il n'est pas purement made in France.

L'ANSSI affirme que certaines propriétés de sécurité présentes sur CLIP OS ne sont pas réalisables sur les autres OS disponibles publiquement. Il s'agit entre autres du support du multiniveau pour gérer des informations de plusieurs niveaux de sensibilité différents et d'un accès administrateur restreint en production, c'est-à-dire qu'un administrateur ne doit pas pouvoir compromettre un système déployé en production ni accéder aux données utilisateurs.

Le projet CLIP OS présente aussi des points communs avec Qubes OS, l'OS qui a volé la vedette à Tails aux yeux d'Edward Snowden. C'est surtout le cas en ce qui concerne les objectifs fonctionnels, mais les deux diffèrent sur des points comme le mécanisme principal d’isolation, ainsi que le rôle et le pouvoir d’un administrateur. Pour le mécanisme d'isolation, CLIP OS utiliserait une approche qui permet d’avoir un contrôle plus fin des échanges de données et des permissions. Pour ce qui est du rôle et du pouvoir d’un administrateur, l'ANSSI explique aussi que l'administrateur d’un système CLIP OS n’est pas en mesure de compromettre l’intégrité du système ni d’accéder aux données des utilisateurs. Il a à sa disposition uniquement un ensemble restreint d’options de configuration. Alors qu'avec Qubes OS, l’utilisateur principal de chaque machine virtuelle est aussi un administrateur de la machine virtuelle. Et l’administrateur système du cœur peut modifier la configuration et accéder à toutes les données utilisateur sans restrictions.

Il n’existe actuellement pas de version « prête à l’emploi » de CLIP OS pour les utilisateurs. Mais on pourrait s'attendre à une version stable de l'OS dans les mois à venir si la communauté se mobilise. L’ANSSI invite donc chacun à contribuer au développement et au durcissement du système d’exploitation.

Sources : ANSSI, CLIP OS 4 (GitHub), CLIP OS 5 (GitHub)

Et vous ?

Que pensez-vous de cette initiative d’ouverture du code de CLIP OS ?
CLIP OS est-il un projet prometteur selon vous ? Idéal pour être l’OS souverain français ?

Voir aussi :

Bercy publie le code source du calculateur de la taxe d'habitation, la DGFiP a choisi C comme langage, mais la qualité du code est remise en question
France : une élue relance la question d'un OS souverain, après avoir interpellé le gouvernement au sujet de l'omniprésence des GAFAM dans le pays
Sécurité : pourquoi l'OS open source Qubes OS a volé la vedette à Tails, et est présenté par Edward Snowden comme le meilleur aujourd'hui
Création d'un OS souverain français : un non-sens technologique, estime le responsable de la sécurité informatique de l'État
L'OS souverain pour la France existe-t-il déjà ? Faut-il partir d'un système existant ou partir de zéro ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 20/09/2018 à 22:06
A mes voisins du dessus : Plutôt que de troller vous feriez mieux d'aller jeter un œil au projet, qui est un très bon sujet d'étude sur le hardenning système.

L'ANSSI est une des rares institutions qui ne mérite pas trop de railleries (bon ok, sauf sur leur intransigeance à franciser tous le jargon informatique). Je rappelle que l'ANSSI s'est opposée à l'inclusion de backdoor dans les divers chiffrements.
18  0 
Avatar de intelligide
Membre régulier https://www.developpez.com
Le 21/09/2018 à 7:01
Citation Envoyé par Aiekick Voir le message
c'est pas un peu con de passer un truc "sécurisé" en open source ? rein n'est totalement securisé, si le code source n'est pas dispo et l'os pas grand publique, ca limite de beaucoup le hacking de cet os.

maintenant qu'il est dispo, ca va etre "easy" de trouver des bug, et faille zero day a exploiter....pourquoi ne peuvent t'ils pas garder leur outils secret ?
On est bien en 2018 ? Si oui, je m'étonne qu'on peut encore penser ça !

Donc, une fois pour toutes,

Ce n'est pas parce que c'est propriétaire que c'est sécurisé et vice versa !

Un logiciel open source est certes plus exposé à la recherche de faille par les black hats (les méchants hackers) mais il est tout aussi exposé aux white hats (les chercheurs en sécurité, etc...) qui peuvent d'eux même proposé un patch. Un programme open source à l'avantage de pouvoir être patché très rapidement car une entreprise n'a pas forcèment besoin de mettre une équipe sur le fix pendant 1 semaine, les chercheurs ou la communauté peuvent s'en charger !

Donc un logiciel propriétaire est moins exposé et moins réactif, et un logiciel open source est plus exposé et beaucoup plus réactif.

Et puis, il n'y a pas besoin de code source pour trouver des failles (cc Flash )
17  0 
Avatar de kinaesthesia
Membre averti https://www.developpez.com
Le 21/09/2018 à 2:23
Toi tu n'as rien compris à la sécurité informatique justement ...
10  1 
Avatar de survivals
Membre actif https://www.developpez.com
Le 21/09/2018 à 8:29
Citation Envoyé par melka one Voir le message
et remplis de porte dérobé contrôle pas l'espionnage français
Le principe de l'open source c'est qu'on peux vérifier que non.
8  0 
Avatar de J@ckHerror
Membre expérimenté https://www.developpez.com
Le 21/09/2018 à 11:49
Citation Envoyé par redcurve Voir le message
L'état peut très bien demander les sources de windows et faire une version custom. Concernant les backdoors dans windows ... il faudrait arrêter les légendes urbaines 5 minutes.

Il y a encore 8 ans j'aurais compris ton discours ! mais aujourd'hui ce n'est plus une légende urbaine ! Et demain es-tu sur que ce ne sera pas une légende ??? quelles garanties as tu ? les US sont nos copains, microsoft n'a pas d'interet a backdoorer ces system ???

Nous parlons ici de system spécifique, extrêmement sensible et stratégique ! Ils ont raison de se prémunir de tous risques, je ne suis pas protectionniste ni souverainiste, mais a un tel niveau de responsabilité, aucun risque n'est permis, et il est bien grand temps que les services d'états sensibles prennent conscience qu'il ne pourront jamais faire confiance à une société privée qui a par nature des objectives bien différentes de ces services d'états....

J@cK.
7  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 21/09/2018 à 10:05
Elle n'impose rien, c'est justement pour les administrations a la base.
Après ça serait cool si c'était utilisé dans les écoles etc, pour que les gamins puissent s'habituer a une base linux plutôt que windows.

Imagine quand même que la majorité des administrations tournent sous windows, et parfois même (en France je ne sais pas, mais ça s'est vérifié dans pas mal de pays, des hôpitaux aussi) windows XP!
Alors outre la partie sécurité, faut prendre en compte deux choses:
- le coût des licences, qui est absolument énorme a chaque fois qu'il faut migrer un parc entier
- le contrôle de microsoft (et eux ils s'y connaissent en backdoors et autres conneries, cf les clé de chiffrement qui étaient envoyées directement sur leurs serveurs)

Bref, pour moi c'est une très bonne chose qu'ils aient fait ça. Surtout qu'ils ont pas été assez cons pour repartir de zéro. Rien que la base linux et le côté open source ça montre que le projet est bien plus que crédible.
J'espère juste qu'il seront pas aussi stupides que Munich, et que s'ils font une transition, qu'ils s'y tiennent.
6  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/09/2018 à 10:59
Citation Envoyé par gros_rougeot Voir le message
Suis toujours dubitatif face aux "grands projets informatiques français". Des centaines de millions sont dépensés et le machin finit au fond d'une poubelle. Au passage, de grands groupes se sont gavés d'argent public et ont pondu une grosse daube. La liste d'exemple est très très longue. Pour n'en citer qu'un : Louvois.
Le projet CLIP OS est basé sur Linux, il n'est évidemment pas réalisé from scratch. Il est de plus réalisé en interne (et vu les salaires à l'ANSSI on est bien loin des centaines de millions dépensés). cela n'a rien à voir avec les projets pharaoniques délégué à des grosses SSII.

Citation Envoyé par gros_rougeot Voir le message
La France n'est pas la Chine, ni la Russie, comment peut elle imposer un OS à part à quelques administrations ?
Et bha justement le public visé de CLIP OS sont les administrations (et pas tous le monde, les personnes traitant des documents sensibles), et par extension de la publication en open source, de qui veut l'utiliser. Arrêtez de faire le rapprochement avec l' "OS Souverain", CLIP OS n'a pas pour but de devenir l'OS des petit(e)s française(s), et est antérieur aux déclarations des députés/ministres.
5  0 
Avatar de KsassPeuk
Membre confirmé https://www.developpez.com
Le 21/09/2018 à 11:41
J'ai toujours un peu de mal avec l'idée comme quoi ce serait complètement impensable et inutile de réécrire des systèmes d'exploitation from scratch (NB: j'ai bien compris qu'ici ce n'est pas le cas, je parle juste des commentaires généraux qui vont avec). Des systèmes comme Linux sont beaucoup trop gros et complexes pour que l'on espère donner la moindre vraie garantie de sécurité à son sujet. Donc heureusement qu'il y a des projets qui visent à construire des systèmes beaucoup plus sûrs en reprenant des briques développées from scratch et bâtissant par dessus. Par exemple avec les projets qui sont produits chez OrangeLabs et qui se basent sur des briques comme seL4 pour obtenir des garanties fortes de sécurité. Alors ouais, évidemment, c'est un boulot de malade et ça prendra des dizaines d'années, mais prétendre que c'est inutile est complètement absurde : nos systèmes sont pourris de bugs, alors si on peut construire mieux, il faut essayer. Et il y a un paquet d'acteurs dans le monde qui s'y attellent.
5  1 
Avatar de KsassPeuk
Membre confirmé https://www.developpez.com
Le 22/09/2018 à 12:18
Citation Envoyé par abriotde Voir le message
(1) C'est financièrement pas possible pour une pays aussi petit que la France. (2) Je pense que tu n'a pas idée de la tâche que cela représente. Le problème c'est qu'avec le noyau, il faut des pilotes à peu près à jour avec du matériel récent, des applications... (3) et surtout une preuve formelle n'est pas une preuve magique. Il faut savoir que beaucoup de temps pour avoir une preuve formelle et la preuve ne prouve que ce qu'on lui demande. (4) Or une grande part des bogue (dans les logiciels bien faits) ne sont pas des faille propre au logiciel mais dû à un détournement d'un cas de figure non imaginé. [...]
(1) C'est financièrement pas possible pour un pays de faire un OS complet tout seul, ça on est clairement d'accord (d'ailleurs Linux n'a pas été pondu par le seul financement d'une entité particulière). C'est pour ça que l'idée est de travailler sur des composants précis et beaucoup plus simples, en réutilisant des briques existantes et en ajoutant de nouvelles briques et rendre ces briques bien lisses. C'est à dire précisément NE PAS reproduire une horreur comme nos OS actuels où les briques sont super poreuses. La très vaste majorité de nos systèmes sont proprement imbitables et c'est sur ceux-là qu'on s'appuie. On peut choisir de s'appuyer sur quelque chose dont on ne comprends pas le fonctionnement mais personnellement je ne trouve pas ça souhaitable. (HS: Même si je sais qu'en ce moment, c'est la super mode d'empiler des couches d'IA dont on ne sait pas ce qu'elles font).

(2) Ben ... Mon boulot en ce moment c'est de vérifier formellement des composants critiques d'un système d'exploitation (en France, mais pas à Orange Labs bande de petits malins).

(3) Jamais dit le contraire. Mais entre "un système où on n'a pas plus de bugs que dans la spécification" et "un système où on a probablement plus de bugs que dans la spec", je choisis quand même le premier. Quant aux temps, je sais bien qu'aujourd'hui l'objectif dans tous les domaines c'est produire le plus vite possible pour pas cher, mais on peut simplement ne pas avoir envie d'un monde comme ça.

(4) Malheureusement, c'est pas la majorité .

Citation Envoyé par abriotde Voir le message
D'ailleurs le but de l'OS qu'ils ont sorti ne semble pas tant de résister mieux aux hackers émérites que de résister à l'usurpation de droits... faire en sorte qu'une personne autorisé (par exemple l'admin système) ne puisse pas faire plus que ce qu'elle peux et que si elle arrive à obtenir plus qu'elle n'est pas tout. Ce n'est pas du tout le même défi.
Dis autrement il n'y a pas de banque inviolable, mais plus on met de barrière de nature différentes mieux c'est.
Le challenge pour lequel seL4 a été mis au défi c'est une situation du type : on a des systèmes militaires pilotés à distance, quelqu'un va essayer d'en prendre le contrôle. Sans la mise en place de seL4 (donc juste un Linux), tous les systèmes sont tombés très rapidement et la prise de contrôle était complète (critique ou pas, c'était accessible). Ensuite seL4 a été placé pour cloisonner d'un côté Linux pour les composants non critiques, de l'autre les composants critiques. Les composants non-critiques ont pu être accédés à distance par les hackers, les composants critiques sont restés inaccessibles. Ca reste largement au delà de la situation initiale.

--------

Je n'ai écris nulle part que la vérification formelle c'est facile et on est sûr de sauver le monde avec. Il est clair et net que ça demande BEAUCOUP plus de boulot que de faire du test par exemple.

Cependant, je ne crois pas que produire du soft toujours plus vite en continuant à s'appuyer sur des technos de plus en plus obscures soit la solution pour avoir des systèmes plus sûrs. Et à mon avis, le fait que la réactivité de nos systèmes stagne depuis des années alors que notre matériel a continué à accélérer - même si ça accélère de moins en moins vite - est clairement un autre symptôme de ce même problème : on ne cherche pas à comprendre ce que font nos briques logicielles ni à simplifier leur fonctionnement, on se contente d'accumuler de la dette technique dessus.

Vérifier un système formellement a d'autres avantages que "simplement" avoir un preuve. D'une part, un système formellement vérifié, c'est un système formellement spécifié, et il n'est pas rare du tout de comprendre qu'il y a un problème dans une spécification textuelle en la passant dans le domaine des mathématiques, simplement parce que les maths ont quand même cet avantage d'être précise. D'autre part, si on maintient la preuve, on maintient aussi le code et la spec (sinon pas de preuve), donc on limite les chances que l'on se retrouve avec des specs pas à jour par rapport au système réel (ce qui est hyper commun dans les documentations). D'autre part, un système vérifié c'est un système vérifiable (merci captain obvious), et un système vérifiable est généralement conçu avec l'idée en tête de rendre son fonctionnement aussi clair que possible et de façon à limiter la présence des corner-cases. De ce côté, j'ai déjà entendu l'argument "oui mais c'est souvent aussi plus lent", je demande à voir à quel point un système sans corner case est incroyablement plus lent qu'un système qui a subit des années de micro-patch dans tous les sens et qui ont tendance à rendre le control-flow complètement WTF.

Bref, si, je pense que c'est une solution dans laquelle il faut investir du temps. C'est pas la solution la plus simple, clairement, ni la moins coûteuse, clairement, mais une de celles qui peut apporter les meilleures garanties.

--------

HS: C'est une maladie pour les éditeurs des forums de ne pas être pratiques ?
5  0 
Avatar de melka one
Membre éprouvé https://www.developpez.com
Le 20/09/2018 à 21:09
être à l’abri de tout espionnage étranger.
et remplis de porte dérobé contrôlé par l'espionnage français
4  4 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web