Linux: parlons sécurité

Linux est un OS (système d’exploitation) assez robuste, mais un excès de confiance vous mènera à des déconvenues.

Avertissement

On se concentre uniquement sur les points négatifs ici mais bien sûr que Linux est un OS génial, open-source et fun.

Linux est partout en fait

Linux représente 1% du marché si on regarde simplement les utilisateurs finaux mais en réalité c’est utilisé partout:

  • Appareils type IoT
  • Architectures cloud
  • Voitures
  • Infrastructures militaires
  • Serveurs
  • Systèmes aussi critiques que le contrôle du trafic aérien

Et bien d’autres…

Des problèmes de sécurité en pagaille

  • Des centaines de distributions et autres systèmes dérivés dont beaucoup ne sont plus maintenus ou vulnérables
  • De multiples exploits du noyau révélés publiquement ces dernières années
  • Élévation de privilèges à partir d’un utilisateur local sans aucun droit telles que les “Dirty Pipe” et “Dirty cow”
  • Des Desktops qui ne protègent pas assez la vie privée des utilisateurs, donnant un accès illimité aux données à n’importe quelle application sans aucun sandboxing (~ isolation)
  • Des solutions de sandboxing comme firejail parfois controversées car exécutées en tant que root, donc si une faille touche l’outil c’est ipso facto une élévation de privilège niveau maximum (root)
  • De multiples corruptions de la mémoire (ex: variables non initialisées, injections de code shell, ROP/JOP)
  • De multiples exploits basés sur le sudo (keyloggers, hooks via LD_PRELOAD, sudo prompts trafiqués)

Et bien d’autres…

Linux doit être sécurisé

Linux fait un travail fantastique, notamment avec certaines configurations par défaut, mais cela ne dispense absolument pas de certaines étapes essentielles.

Bien sûr, cela dépend de votre modèle de menace, donc les risques associés à vos activités en ligne, mais, par expérience, sécuriser Linux s’avère nécessaire et requiert des connaissances avancées.

Les équipes de sécurité et les pen-testeurs aboutissent bien souvent à créer leur propre distribution avec des réglages de sécurité supplémentaires et des logiciels/scripts fréquemment utilisés.

C’est surtout fait dans l’optique de réduire les problèmes d’instabilité pour rester efficace (ça rigole vraiment PAS niveau délais), mais il y a aussi des sécurisations supplémentaires.

Pour l’utilisateur Linux lambda, une part importante de la sécurité est assurée par les navigateurs en fait, et pas par l’OS.

Bon bah on fait quoi ?

C’est toujours pareil: on apprend, on teste et puis on saute à l’étape suivante.

Vous ne pourrez strictement rien faire face à un attaquant de niveau global, donc à moins d’avoir des activités à haut risque ou d’être intégré dans la partie en tant que personne d’intérêt, vous pouvez ajouter des couches de sécurité qui vont largement emmerder les attaquants de moindre envergure.

Voici quelques conseils pour un usage individuel:

  • ayez une approache “full disk encryption”, pas simplement le dossier ~/home
  • désactivez toutes les télémétries (ex: les systèmes automatique comme les rapports de crash) et supprimez l’historique des fichiers
  • désactivez les connections sans fil si vous n’en avez pas besoin (ex: Bluetooth, WiFi)
  • débarrassez-vous des services superflus (ex: dans les réglages de vie privée) et des logiciels non utilisés, et fermez bien vos ports!
  • couvrez la caméra
  • verrouillez la session évidemment mais aussi le BIOS (ex: mot de passe administrateur)
  • n’installez pas des paquets que vous ne maîtrisez pas et qui pourraient être exploités à vos dépens
  • n’utilisez pas les mêmes appareils pour la vie quotidienne et les activités plus sensibles
  • considérez des approches type SELinux

Wrap up

Contrairement aux systèmes propriétaires, Linux est open-source, ce qui le rend tout de même plus digne de confiance et surtout auditable!

Cependant, cela ne veut pas dire qu’on ne peut pas le critiquer juste parce que c’est gratuit.

Certaines fonctionnalités sont géniales, d’autres plus sujettes à débat, y compris celles que je vous recommande ici.

Explorer, tester c’est très bien mais ça peut aussi devenir suspect et même jouer contre vous en cas de problème. On pourrait vous poser ce genre de questions:

  • Pourquoi vous installez des distributions destinées aux hackers et aux pen-testeurs ?
  • Pourquoi vous vous intéressez à tout ce qui est compartimentalisation ?
  • Mais qu’est-ce qui vous prend de falsifier votre adresse MAC ?
  • Pourquoi éteignez-vous votre téléphone ?
  • Pourquoi cherchez-vous un tel niveau d’anonymat alors que des mesures basiques de vie privée paraissent mieux appropriées ?

Je termine sur ces petites contre-parties car, malheureusement, l’argument “rien à cacher” l’emporte souvent dans nos sociétés, et Linux ne résoudra pas vos problèmes automagiquement.

A voir aussi