Clip : l’Anssi dévoile son système d’exploitation durci

Une conception centrée sur la menace

Le développement de Clip OS a été mené autour de huit principes fondateurs : n’importe qui peut réaliser des actions dangereuses par erreur ; n’importe quel code peut contenir des vulnérabilités ; seul le code de confiance doit pouvoir s’exécuter ; les rôles d’administration peuvent être variés – et les privilèges doivent être accordés en conséquence ; le système peut supporter plusieurs utilisateurs et être connecté à des réseaux non contrôlés ; une journalisation granulaire doit être assurée pour permettre de détecter les attaques ; et enfin il faut pouvoir gérer des niveaux de confidentialité variés.

Clip OS est donc conçu pour répondre à quatre scénarios de menace : un attaquant pouvant accéder au système via le réseau ; un utilisateur légitime du système mais susceptible d’actions préjudiciables ; une personne disposant de droits d’administration ; ou encore un attaquant local disposant d’un accès physique complet.

Une isolation poussée

L’Anssi décrit alors un système d’exploitation assurant l’isolation des processus, un modèle de permissions taillé sur mesure, et « de multiples développements de durcissement intégrés en profondeur ».

Celle-ci s’appuie sur un socle Gentoo durci dont les interactions sont contrôlées vers le noyau Linux, ainsi que vers ce que l’Anssi appelle des cages. Ce sont elles qui présentent l’environnement accessible à l’utilisateur. Chaque cage est strictement isolée l’une de l’autre et « peut abriter les applications et les documents d’un niveau de confidentialité spécifique ».

L’Anssi reconnaît des similarités entre Qubes et Clip OS. Mais elle souligne également les différences entre les deux projets. En particulier, du côté de Clip OS, il n’y a point d’hyperviseur : l’isolation des « cages » est assurée par Vserver ainsi que par un module de sécurité Linux (LSM) sur-mesure. L’agence explique que « cette approche permet un contrôle hautement granulaire des échanges de données entre les environnements isolés, et des permissions ». Ainsi, un service à privilèges dédié assure le contrôle de ces échanges.

En outre, l’Anssi souligne que les administrateurs d’un système animé par Clip OS « ne peuvent compromettre l’intégrité du système ou accéder aux données des utilisateurs. Ils ne peuvent accéder qu’à un ensemble limité d’options de configuration ».  

L’Anssi assure l’intégrité des sources par la signature cryptographique de chaque dépôt. Pour l’heure, seules celles-ci permettent de déployer Clip OS : il doit être compilé, en environnement isolé. Le système d’exploitation vérifie en outre l’intégrité de la chaîne d’initialisation sur les machines. Au passage, la partition principale est une image squashfs montée en lecture seule.

Un projet ambitieux

Pour l’agence, la publication du code source de Clip OS ne marque pas la fin de l’aventure. Une version bêta est en cours de développement et prévoit de nombreuses évolutions, à commencer par des mesures de confinement supplémentaires, pour les services système ou encore pour différents rôles administratifs.

Surtout, c’est à partir de la version bêta que commencera à être supporté le déploiement de Clip OS sur certains serveurs, postes de travail et portables. Il faudra attendre la version définitive pour disposer d’une liste de systèmes physiques validés.

Dans un communiqué de presse, l’Anssi explique que l’ouverture du code de Clip OS « s’inscrit dans le ‘plan pour une action publique transparente et collaborative’ mené par la Dinsic », entaché récemment par le retrait de l’adhésion à la Document Foundation.

Mais Clip OS n’est pas la seule contribution de l’agence au monde de l’Open Source et de la sécurité informatique. L’Anssi est membre de l’OISF depuis l’été 2016 et contribue ainsi au développement de l’IPS / IDS Suricata. Son statut de membre « gold » implique une donation annuelle de 80 000 $.