Projet CLIP OS
Le projet CLIP OS est un projet open source maintenu par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’objectif principal du projet est de construire un système d’exploitation durci, capable de gérer des informations de plusieurs niveaux de sensibilité. Pour l’atteindre, le projet se base sur le noyau Linux et un ensemble de logiciels open source.
Historique et publication
Initialement développé pour répondre aux besoins des administrations, les précédentes versions de CLIP OS n’étaient pas disponibles publiquement.
Depuis septembre 2018, les sources de la nouvelle version du projet sont publiques et le projet est ouvert aux contributions extérieures.
Fonctionnalités de sécurité et différences principales vis-à-vis des autres systèmes d’exploitation
Le projet se base sur plus de dix ans de développement interne à l’ANSSI pour créer un système d’exploitation durci.
Les propriétés de sécurité suivantes ne sont généralement pas réalisables à partir des systèmes d’exploitation disponibles publiquement :
- Support du multi-niveau pour gérer des informations de plusieurs niveaux de sensibilité différents.
- Accès administrateur restreint en production : un administrateur ne doit pas pouvoir compromettre un système déployé en production ni accéder aux données utilisateurs.
- Construction du projet de façon totalement automatisée et réalisée intégralement à partir des sources.
- Opportunités d’intégration forte dans des environnements variés.
La liste des fonctionnalités de sécurité disponibles est présentée dans la documentation de chaque version.
Quelles différences y-a-il avec Qubes OS ?
Les projets CLIP OS et Qubes OS se ressemblent d’un point de vue objectifs fonctionnels mais diffèrent sur plusieurs points :
Le mécanisme principal d’isolation est différent
CLIP OS utilise les primitives du noyau Linux pour créer des conteneurs, ainsi que des fonctionnalités supplémentaires apportées par VServer, des durcissements du noyau Linux (grsecurity pour la version 4) et un module de sécurité Linux (LSM) ad hoc. Cette approche permet d’avoir un contrôle fin des échanges de données (p. ex. notion de fichier, socket, processus) et des permissions (p. ex. code malveillant limité aux fonctionnalités du ring 3, limitation des appels noyau autorisés).
Qubes OS utilise la virtualisation matérielle via un hyperviseur (Xen), ainsi qu’une machine virtuelle (dom0) comprenant un système GNU/Linux et des services chargés d’échanger avec d’autres machines virtuelles.
Le rôle et le pouvoir d’un administrateur
L’administrateur d’un système CLIP OS n’est pas en mesure de compromettre l’intégrité du système ni d’accéder aux données des utilisateurs. Il a à sa disposition uniquement un ensemble restreint d’options de configuration.
Avec Qubes OS, l’utilisateur principal de chaque machine virtuelle est aussi un administrateur de la machine virtuelle. L’administrateur système du cœur (dom0) peut modifier la configuration et accéder à toutes les données utilisateur sans restrictions.