Journal Nuit du Hack 2016 & ANSSI

Posté par  (site web personnel) . Licence CC By‑SA.
15
1
juil.
2016

L'Agence Nationale de la Sécurité des Systèmes d'Informations sera de nouveau présente à l'édition 2016 de la Nuit du Hack. NDH2016 se déroule demain, à Paris, non à Marnes La Vallée, non à Chessy … Bref c'est ce week end et c'est en région parisienne !

L'ANSSI tiendra donc un stand cette année également. Et présentera à cette occasion une nouvelle distribution Linux, nommée "CLIP", qui a pour objectif :

fournir des mécanismes de cloisonnement qui rendent possible le traitement simultané, sur le même poste informatique, d’informations publiques d’une part et sensibles d’autre part, au sein de deux environnements logiciels totalement isolés.

Pour cela il s'appuie sur :

basé sur Linux intègre un ensemble de mécanismes de sécurité qui lui confèrent un très haut niveau de résistance aux codes malveillants et lui permettent d’assurer la protection d’informations sensibles. Il fournit par ailleurs des mécanismes de cloisonnement

Cette distribution sera donc présentée sur le stand l'ANSSI ce week-end.

Cela peut rappeler la distribution qui avait été conjointement développé par Mandrake et par Bertin Technologies, sous la gouvernance de ce dernier, au service de l'Armée Française, et qui était la seule distribution Linux à obtenir EAL-5 des Common Criteria. Là, avec l'ANSSI, il semble que l'objectif soit différent :

Ce système peut être déployé aussi bien sur des passerelles de sécurité que sur des postes clients, y compris portables. Il permet notamment l’accès à des informations sensibles dans un cadre d’utilisation nomade.

  • # DisponibilitĂ©

    Posté par  (site web personnel) . Évalué à 1.

    Chouette initiative !

    Pour quand une version réellement open source ? ;)

    • [^] # Re: DisponibilitĂ©

      Posté par  . Évalué à 2.

      Ne pas la rendre open source doit faire partie de leur stratégie de sécurité.

    • [^] # Re: DisponibilitĂ©

      Posté par  (site web personnel) . Évalué à 1.

      Dixit les représentants de l'ANSSI, quand le code ne sera plus classifié et quand ils auront épuré le code du noyau, auquel ils ont rajouté de la crypto "étatique", classifiée également.

      Pour l'instant, ils souhaitent se concentrer sur la dissémination auprès des OIV (et encore, se concentrer sur les postes d'administration un peu "critiques" chez ces OIV), et avec pour plan B de balancer une ISO et/ou un dépôt Git dans les moi à venir.

      Bon le discours était un peu confus, au final je pense personnellement que ça va resté cantonné chez eux et qu'il n'y aura pas de version publique "à la Fedora/Debian/whatever".

      A comparer Ă©galement avec QubesOS, qui n'a pas du tout la mĂŞme approche pour le cloisonnement.

      CLIP utilise des containers LXC pour faire la séparation "état haut/état bas" (comprendre, environnement sécurisé/non sécurisé), tandis que QubesOS se base sur un hyperviseur bare-metal (Xen) et tire profit des extensions processeurs VT-x et VT-d (et équivalents AMD). D'ailleurs les ptits gars de l'ANSSI marchaient un peu sur des oeufs quand on leur parlait de Qubes, avec l'argument que Qubes faisait trop confiance au matériel selon eux, alors que justement, les devs de Qubes sont très critiques vis-à-vis des boîtes noires d'Intel (le Management Engine, voir ici : http://blog.invisiblethings.org/2015/10/27/x86_harmful.html) et sont très conscients des différentes attaques connues contre VT-d/VT-x. Bref.

      Sinon, CLIP fait aussi usage du patch de sécurité Grsecurity pour son noyau custom, et ça c'est plutôt bien :)

      Mes messages engagent qui je veux.

      • [^] # Re: DisponibilitĂ©

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 06 juillet 2016 à 19:09.

        Merci beaucoup pour ce retour, je regrette de ne pas avoir pu y assister (en plus les évènements organisés par hzn sont plutôt sympas en général, en tout cas les ndh du milieu des années 2000 étaient vraiment chouettes).

        Perso j'apprécie le côté que tu décris : qu'ils préfèrent s'abstraire du matériel, car on a un meilleur contrôle sur le logiciel.

        Bon le discours était un peu confus, au final je pense personnellement que ça va resté cantonné chez eux

        Ils n'ont clairement pas les moyens, le soutien, qui leur permettraient de mettre en œuvre le nécessaire : publication de ce qui peut l'être, tel qu'un guide de recommandation, des bonnes pratiques et des recettes, et distribution séparée pour l'interne et les partenaires. Quant on pense qu'aux usa leur équivalent propose même un dépôt pour Fedora, avec un skin (bon, c'est vieux ça, ils ne l'ont pas mis à jour pour gnome3) permettant de déguiser totalement un bureau gnome en bureau XP pour ne pas éveiller l'intérêt dans les lieux publics tels que les avions et les trains.

        Bref, c'est super que l'ANSSI commence ce genre de démarche.

      • [^] # Re: DisponibilitĂ©

        Posté par  (site web personnel) . Évalué à 2.

        Les gens de GRsec parlent aux gens de Kernel.org maintenant, d'une manière très apaisée et constructive. Pas mal de choses sont en train d'être mergées dans next venant de Brillo Sec, de GRsec et de OpenWall. Ça aussi c'est une super nouvelle :-)

  • # Province !

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    à Paris, non à Marnes La Vallée, non à Chessy … Bref c'est ce week end et c'est en région parisienne !

    Ah ouais, c'eut été carrément l'horreur que ça se passe en "région" :D

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.