Système d'exploitation orienté sécurité

Un article de Wikipédia, l'encyclopédie libre.

Voici la liste alphabétique des systèmes d'exploitation non seulement reconnus pour leur sécurité, mais issus d'un projet axé sur le renforcement de la sécurité. Les critères sont détaillés et peuvent également être répertoriés dans les systèmes d'exploitation évalués.

BSD[modifier | modifier le code]

BSD (pour Berkeley Software Distribution) est un système d'exploitation sous une licence libre, la licence BSD, duquel sont dérivés NetBSD, FreeBSD et OpenBSD notamment.

OpenBSD[modifier | modifier le code]

OpenBSD est issu de la séparation avec NetBSD, le plus ancien des trois autres principaux systèmes d'exploitation de la famille des BSD aujourd'hui en activité. C'est un projet open source hautement concerné par la sécurité, il inclut un certain nombre de mesures de sécurité absentes ou optionnelles dans d'autres systèmes d'exploitation[1], même au détriment de la facilité d'utilisation, de la vitesse ou des fonctionnalités. Des audits de codes considérés comme étant des éléments importants de la sécurité d'un système sont effectués.

HardenedBSD[modifier | modifier le code]

HardenedBSD est une bifurcation (fork en anglais) de FreeBSD destinée à accentuer la sécurité. Le projet a commencé par la mise en œuvre de l'ASLR en 2015. Depuis, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement contre l'exploitation de vulnerabilité informatique. Le projet s'inspire principalement de PaX et de Grsecurity.

NetBSD[modifier | modifier le code]

NetBSD intègre des fonctions d'atténuation des exploits, ASLR, KASLR, Veriexec, Kauth, mprotect() restreint et Segvguard du projet PaX, et des extensions de compilateur comme Stack Smashing Protection.

TrustedBSD[modifier | modifier le code]

TrustedBSD était une surcouche de FreeBSD destinée à accentuer la sécurité. Le projet était rendu possible par des subventions venant de différentes organisations; il suit les critères communs pour l'évaluation de sécurité de Trusted Computer System Evaluation Criteria (ensemble de critères énoncés par le département de la Défense des États-Unis dans le livre orange, ou orange book). Les principaux travaux portent notamment sur le contrôle d'accès discrétionnaire et sur l'implémentation FLASK/TE de la NSA. Beaucoup d'extensions concernant la sécurité ont été intégrées au projet principal, FreeBSD, à partir des versions 5.x.

GNU/Linux[modifier | modifier le code]

GNU/Linux est l'appellation courante du système d'exploitation libre, multitâche, multiplate-forme et multi-utilisateur de type Unix basé sur le noyau Linux écrit par Linus Torvalds. GNU/Linux n'est pas à proprement parler basé sur la sécurité, mais diverses distributions s'en donnent l'objectif.

Gentoo Hardened[modifier | modifier le code]

Gentoo Hardened est un sous-projet de Gentoo. Auparavant, le projet utilisait principalement PaX et Grsecurity afin de durcir le noyau linux contre la vulnérabilité du jour zéro. Gentoo Hardened met en avant le module de sécurité SELinux et RSBAC (Rule Set Based Access Control).

Openwall GNU/*/Linux[modifier | modifier le code]

Openwall GNU/*/Linux est conçue par Solar Designer, est la première à inclure une pile d’appels utilisateur non exécutable, une protection contre les compétitions au sein de /tmp et des restrictions d’accès aux données de /proc, au moyen d’un patch du noyau[2].

Qubes OS[modifier | modifier le code]

Article détaillé : Qubes OS.

Développée par une équipe autour de Joanna Rutkowska, Qubes OS utilise l’hyperviseur Xen pour compartimenter les différentes applications dans des machines virtuelles. Les différents domaines sont configurables selon leurs utilisations et les risques associés[3].

Tails (The Amnesic Incognito Live System)[modifier | modifier le code]

Article détaillé : The Amnesic Incognito Live System.

Basé sur Debian. Toutes les connexions sont forcées de passer à travers Tor ou (en option) I2P. Le système est conçu pour être démarré en tant que live CD ou live USB, et aucune trace n'est laissée sur le stockage local à moins d'y être autorisé.

CLIP OS[modifier | modifier le code]

CLIP OS est une distribution Linux développé par l'ANSSI depuis 2006. Initialement à destination des administrations publiques française, le code source a été déclassifié et ouvert en [4],[5].

La version 4, basée sur une distribution Gentoo Hardened, y ajoute notamment des fonctionnalités de gestion de sécurité multi-niveau, d'isolation des processus (basé sur Linux-VServer), de gestion sécurisée des mises à jour, d'administration à distance et de sécurisation des communications réseau. La version 5 est aujourd'hui en cours de développement.

Whonix[modifier | modifier le code]

Whonix est une distribution GNU/Linux basée sur Debian et orientée sécurité. Son objectif est de préserver la vie privée, la sécurité et l'anonymat sur Internet.

BlackArch Linux[modifier | modifier le code]

BlackArch existe en tant que distribution indépendante, ou comme dépôts non officiels pour une installation existante d’Arch Linux. Elle est orientée vers les tests d’intrusion et la sécurité en général[6].

Kali Linux[modifier | modifier le code]

L'objectif de Kali Linux est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système d'information, notamment le test d'intrusion.

Fedora[modifier | modifier le code]

Fedora est un projet basé sur la distribution Red Hat. C'est la seule distribution répandue qui intègre des éléments supplémentaires de sécurité[7], avec l'intégration du module de sécurité SELinux avec le contrôle d'accès obligatoire (Mandatory access control pour la gestion des droits des utilisateurs, et notamment l'utilisation systématique des préventions de dépassement de tampon.

Adamantix[modifier | modifier le code]

Adamantix, aussi connue sous le nom de Trusted Debian, était un système d'exploitation GNU/Linux, basé sur Debian, et orienté sécurité avec notamment des protections contre les attaques utilisant des débordements avec PaX et SSP et un contrôle avancé du système à l'aide de RSBAC (Rule Set Based Access Control).

Annvix[modifier | modifier le code]

Annvix était un dérivée de Mandriva pour produire une distribution sécurisée dédiée aux serveurs. Elle emploie la protection Stack-Smashing Protector (SSP) contre la corruption de pile et utilisera prochainement RSBAC (Rule Set Based Access Control).

CopperheadOS[modifier | modifier le code]

Il s’agissait d’un système d’exploitation mobile libre et open-source basé sur Android, qui a utilisé quelque temps un port non officiel de PaX[8],[9],[10].

EnGarde Secure Linux[modifier | modifier le code]

EnGarde Secure Linux était une plateforme sécurisée pour les serveurs. Elle regroupe plusieurs services web, DNS ou email, tout en se voulant simple à configurer[11].

GrapheneOS[modifier | modifier le code]

GrapheneOS un système d’exploitation mobile libre et open-source basé sur Android[12]. Il s'agit d'un fork du projet CopperheadOS à la suite d'un différend des développeurs du projet avec la société Copperhead qui était le sponsor du projet[13]. Le projet est un système d'exploitation basé sur AOSP (Android Open Source Project) qui ajoute des fonctions de sécurité à Android comme du sandboxing, de nouvelles permissions (accès au réseau ou aux capteurs), la possibilité de changer d'adresse MAC à chaque connexion ou le l'ajout d'un malloc renforcé[14]. L'OS comprend aussi quelques application de base renforcées (lecteur PDF, appareil photo, navigateur Vanadium[15]...). Les applications permettant l'accès au Google Play Store sont maintenant disponible afin de permettre l'adoption de ce système d'exploitation à un plus grand nombre de personnes[16].

Hardened Linux (Wendzel Linux)[modifier | modifier le code]

Wendzel Linux était une petite distribution pour jouer le rôle de pare-feu, de détection d'intrusions et de porte d'accès aux réseaux VPN. La distribution est basée sur la Slackware mais a subi de profondes modifications comme l'utilisation du patch Grsecurity pour le kernel[17]. Son développement est officiellement arrêté le [18].

Immunix[modifier | modifier le code]

Immunix était une distribution commerciale utilisant divers systèmes de sécurité lourds. Y figurent StackGuard, la signature et le chiffrement des exécutables.

Incognito[modifier | modifier le code]

Article détaillé : Incognito (système d’exploitation).

Basé sur Gentoo, avant la création de Tails.

Solaris[modifier | modifier le code]

Solaris est le système d'exploitation Unix propriétaire de Sun Microsystems. Le système en lui-même n'est pas axé sur la sécurité. Des fonctionnalités provenant du projet OpenSolaris comme ZFS sont fusionnés en amont à la version officielle de Solaris après diverses certifications.

Trusted Solaris[modifier | modifier le code]

Trusted Solaris était principalement utilisée par des instances gouvernementales dans le domaine du calcul. Cette distribution possèdait des audits détaillés, elle utilisait le contrôle d'accès obligatoire (Mandatory access control) avec des méthodes d'authentification physique via des périphériques et le RSBAC (Rule Set Based Access Control). Une partie de ces moyens sécuritaires ont été transférés dans la version Solaris 10.

Notes et références[modifier | modifier le code]

  1. (en) Tim McIntire, « Take a closer look at OpenBSD », (version du sur Internet Archive)
  2. (en) James Turnbull, Hardening Linux, Berkeley, CA/New York, Apress, , 552 p. (ISBN 978-1-4302-0005-5, lire en ligne), p. 68
  3. Adrien Geneste, « Qubes OS, une distribution Linux ultra-sécurisée - Le Monde Informatique », LeMondeInformatique,‎ (lire en ligne, consulté le )
  4. « Communiqué de presse : passage de Clip OS en open-source (septembre 2018) », sur www.ssi.gouv.fr, (consulté le )
  5. (en) CLIP OS development team, « The CLIP OS Project », sur CLIP OS (consulté le )
  6. (en-US) Marius Nestor, « Arch Linux-Based BlackArch Penetration Testing Distribution Gets 20 New Tools », softpedia,‎ (lire en ligne, consulté le )
  7. (ru) « SELinux: бронежилет для корпоративного пингвина - «Хакер» [SELinux: bullet-proof vest for corporate penguin] », «Хакер»,‎ (lire en ligne, consulté le )
  8. (en-US) J. M. Porup, « Copperhead OS: The startup that wants to solve Android’s woeful security », Ars Technica UK,‎ (lire en ligne, consulté le )
  9. (en) « CopperheadOS: Securing the Android [LWN.net] », sur lwn.net, (consulté le )
  10. (en-US) Brad Linder, « F-Droid, Copperhead, Guardian Project partner to create a security-focused, Android-based ecosystem - Liliputing », Liliputing,‎ (lire en ligne, consulté le )
  11. « 10 Secure Linux Distributions You Need To Know About », sur www.serverwatch.com (consulté le )
  12. (en) « GrapheneOS: the private and secure mobile OS », sur grapheneos.org (consulté le )
  13. (en) « CopperheadOS | History | GrapheneOS », sur grapheneos.org (consulté le )
  14. Hardened malloc, GrapheneOS, (lire en ligne)
  15. GrapheneOS/Vanadium, GrapheneOS, (lire en ligne)
  16. GrapheneOS et Play services : comment ça marche ?, Wonder.fall, (lire en ligne)
  17. (en) « Hardened Linux », sur SourceForge (consulté le )
  18. (en) « Hardened Linux / News: Hardened Linux: EOL (End of Life) », sur sourceforge.net (consulté le )

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

v · m
Apple
Mac OS Classic
Dérivés de NeXTSTEP
Dérivés de BeOS
DOS
IBM
Microsoft Windows
Fondés sur MS-DOS
Branche NT
ReactOS Foundation
Branche NT (GPL/LGPL/AGPL) non-Microsoft
POSIX / Unix
AT&T / Laboratoires Bell
BSD
GNU Hurd
Linux (liste)
Autres dérivés
Dérivés d'AmigaOS
Dérivés du TOS
D’importance historique
Mobile
Noyau Linux
Autres noyaux
Embarqués
Pour capteur en réseau
Pour carte à puce
Temps réel
Autres systèmes
Pour une liste complète, voir la liste des systèmes d’exploitation et la catégorie « Système d’exploitation ».
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Système_d%27exploitation_orienté_sécurité&oldid=213383873 ».