L'agence de sécurité part sur de nouvelles bases avec Clip OS 5, dernière mouture en date d'un système sécurisé lancé en 2005. En ouvrant son alpha à tous, elle compte sortir son outil de l'administration mais maintient son but : séparer les activités triviales des plus sensibles, en partant du cœur du système jusqu'à l'interface utilisateur.
L'agence de cybersécurité française, l'Anssi, ouvre le développement de son système d'exploitation « durci » Clip OS 5. En avril, elle annonçait l'ouverture de son code, dans le cadre du plan d'action de l'Open Government Project. Utilisé dans l'administration et chez des opérateurs d'importance vitale (OIV) depuis plusieurs années, il est reconstruit de zéro avec cette mouture, initiée il y a un an.
Le système est une des fiertés de l'agence, qui l'expose dans certains événements comme la Nuit du hack. Il était aussi présenté dans une conférence en juin 2015 au Symposium sur la sécurité des technologies de l'information et des communications (SSTIC) de Rennes, où l'agence est chez elle.
Deux environnements, deux versions
Son principe : deux environnements de travail séparés, l'un pour la navigation Internet classique et les opérations banales, l'autre pour obtenir et traiter des documents sensibles. Dans le jargon de l'Anssi, ces deux « cages » sont de niveau « bas » et « haut ». Cette séparation est au cœur de Clip OS, qui cloisonne tant que possible les processus, en leur retirant tous les privilèges qui peuvent l'être.
Deux éditions sont mises en ligne. D'un côté, la « v4 » historique présentée en 2015, fournie avec sa documentation mais expurgée d'éléments internes à l'administration ou jugés peu intéressants. De l'autre, l'alpha de la « v5 », dont l'Anssi ouvre les portes. Le développement sera (enfin) collaboratif.
« Au départ, le projet n'a pas été conçu pour être open source. On a pris ce virage et pris en compte toutes ces considérations pour la version 5 » nous explique Timothée Ravier, ingénieur à l'Anssi.
- Consulter les archives de Clip OS 4 sur GitHub
- Consulter les sources de Clip OS 5 sur GitHub
- Consulter la documentation
Limiter le danger en séparant les processus
Clip OS (marque déposée) est un système durci conçu à l'Anssi (ex-DCSSI) depuis 2005. Il est entré chez des opérateurs d'importance vitale dès 2009, et déployé plus largement en 2015, selon la conférence de Vincent Strubel en 2015. Il est utilisé au quotidien « par une grande partie des agents de l'Anssi », estime Timothée Ravier, sans plus de détails.
Dans Clip OS 4, le cloisonnement des deux environnements de travail est assuré par Linux-VServer, un logiciel de virtualisation. La séparation est menée directement via le noyau Linux, l'Anssi isolant le plus grand nombre de processus possibles. Aucun ne dispose de l'ensemble des droits administrateur (root), le compte root étant lui-même interdit à l'utilisateur.
La racine du système est impossible à modifier une fois celui-ci lancé. Le noyau est renforcé avec des correctifs particuliers, pas encore intégrés dans son édition officielle (upstream). Les bureaux sont dupliqués (le serveur X.Org est isolé et affiché via des visionneuses VNC), le serveur audio et le copier-coller sont cantonnés à chaque niveau.
Les clés USB peuvent être associées à un niveau particulier, via une configuration « invisible » aux autres systèmes. Celles sans configuration sont cantonnées au niveau de sécurité bas. Le système inclut aussi un multiplexage pour l'accès au matériel, comme les périphériques et la carte réseau. Clip OS exploite Caml Crush, un proxy PKCS#11 open source de l'Anssi, pour accéder à certains matériels, comme les cartes à puce.
L'accès au réseau est particulièrement sensible, la cage de niveau « bas » atteint Internet comme un système classique, quand celle de niveau « haut » passe nécessairement par un tunnel chiffré via un réseau privé virtuel IPsec (et possiblement Wireguard en « v5 »). Une édition spéciale de Clip OS est conçue pour servir de tunnel IPsec.
À ne pas mettre entre toutes les mains
Clip OS se destine aux utilisateurs qui manipulent des documents sensibles. Les possibilités sont donc réduites. En juin 2015, Vincent Strubel lançait : « Si vous avez des demandes d'évolution fonctionnelle, ce n'est plus pour moi. [Mes collègues] vous expliqueront comment vous en passer ».
« C'est une blague, reprend Timothée Ravier. Mais clairement, l'idée est de ne pas tout faire. On conçoit un système pour des besoins particuliers, Clip OS n'est pas un système généraliste. » Il n'est pas question de développer des logiciels ou de mener des tests d'intrusion (pentest) avec Clip OS, deux activités pourtant habituelles à l'agence.
« Pour du pentest, vous devez disposer d'accès privilégiés sur votre machine, par exemple pour configurer votre carte réseau... Ce sont des choses dont un utilisateur lambda n'a pas besoin. Pour du développement, vous avez plus vite fait d'installer une distribution Linux classique » estime l'ingénieur.
« L'objectif n'est pas l'installation par l'utilisateur lui-même, mais dans une DSI, par exemple pour 100 postes, pour tenir compte du contexte local, de la configuration réseau... » résume l'Anssi. Clip OS n'est pas fourni clés en main, il nécessite une configuration et une infrastructure particulière. Il faut surtout former les utilisateurs, pour qu'ils utilisent effectivement le niveau de sécurité « haut » au besoin.
Des mises à jour transparentes, un système revu en « v5 »
« L'idée n'est pas de claquer une image de Clip OS sur un PC et roulez jeunesse, vous êtes sécurisé. Il faut réfléchir à l'architecture, déployer des passerelles, des infrastructures de gestion de clés, valider les configurations matérielles... » prévenait Strubel il y a trois ans. La philosophie n'a pas bougé en plus d'une décennie.
L'agence déplace les responsabilités vers l'administrateur, comme les mises à jour, transparentes pour l'utilisateur. Tout est mené en tâche de fond. L'ancien système est conservé dans une partition dédiée, jusqu'à ce que la version à jour démarre correctement.
L'outil sera reconstruit en « v5 », même s'il doit fournir les mêmes fonctions. « Il est compliqué de mettre à jour les versions précédentes vers la nouvelle, donc il faut réinstaller les postes en nouvelle version. On maintient le fonctionnement, donc la double partition. C'est le même fonctionnement que celui des téléphones Android aujourd'hui » nous précise Ravier.
Des logiciels de confiance
En 2015, Clip OS comptait un millier de logiciels dédiés, c'est-à-dire des paquets Debian recompilés avec une chaine d'outils durcie. À l'exécution, un module de sécurité Linux attribue les capacités à chaque application. Un logiciel modifié ne se lancera pas, et les fichiers créés dans une partition utilisateur ne pourront jamais s'exécuter, promet l'agence.
Aucun logiciel finalisé (binaire compilé) ne sera fourni avec le code source de Clip OS 4. De même pour la « v5 », du moins dans un premier temps.
Un pas vers l'open source
L'Anssi est habituée au développement open source, son compte GitHub comptant 35 projets officiels, en plus de ceux auxquels contribuent ses agents. Pourtant, Clip OS 5 est sûrement celui qui l'engage le plus. « On s'inscrit dans le plan Open Government, mais on ne nous a pas forcé la main » assure Timothée Ravier.
Malgré tout, Clip OS était jusqu'alors « un projet interne à l'administration française », sans la moindre volonté d'ouverture du code. La refondation du système a été l'occasion. Il est toujours fondé sur l'édition durcie de Gentoo. Il continue de s'appuyer sur des projets tiers, comme PaX et le patch grsecurity, dont l'agence rediffuse la dernière version publique.
Dans cette ouverture du développement, l'Anssi garde le mot de la fin sur ce qui entre dans le projet. « Si quelqu'un arrive avec une fonctionnalité qu'on n'a pas marquée à faire, ce sera compliqué... Comme tout projet open source » estime Timothée Ravier.
Un calendrier encore flou
L'agence le promet : la feuille de route, le calendrier et les modifications seront publics. Pourtant, elle n'avait aucune idée du temps que prendrait l'atteinte d'une version « bêta » ou finale. Bien entendu, elle vise une certification Critères communs pour Clip OS 5, comme sa grande sœur.
Une dizaine de personnes contribuerait actuellement au projet au sein de l'Anssi, même si ce nombre varierait beaucoup. Cette future version n'inclut actuellement pas encore de couche IPsec ou d'interface graphique.
Pour l'installation, la logique ne change pas : Clip OS 5 est une série de briques à arranger soi-même, avec ses propres modifications, pour obtenir sa propre image du système.
L'Anssi compte tout de même fournir des versions de test, après avoir mis en place la seconde partie de son infrastructure de développement. Elle inclut une revue de code « performante » et la construction automatique d'images du système.
Qubes OS et autres systèmes durcis
Quand on l'interroge sur les systèmes « durcis » proposés par des groupes de cybersécurité, comme Kaspersky ou McAfee (plutôt tournés vers les systèmes industriels), Timothée Ravier botte en touche. « Nous savons que nous ne sommes pas seuls sur le marché des systèmes durcis. L'objectif est d'avoir un projet open source, réutilisable par tous indépendamment de ce qu'on veut en faire » répond-il.
Il ne voit pas Clip OS en concurrence avec Qubes OS, centré sur la séparation des applications et recommandé par Edward Snowden. Souvent pris comme référence des systèmes sécurisés, il est plutôt destiné à des utilisateurs avertis, qui gèrent eux-mêmes la sécurité de leur poste, juge l'ingénieur.
« Avec Qubes OS, il faut suivre le modèle de sécurité du poste. L'objectif de Clip OS est de proposer des contraintes et rôles à côté desquels on ne peut pas passer. L'administrateur n'a pas accès aux données de l'utilisateur, qui est confiné dans son environnement » résume l'ingénieur.
Avec ce lancement, l'Anssi compte déjà mesurer l'appétence pour son modèle et la volonté de tiers à contribuer. L'agence se refuse à tout pronostic, jouant l'humilité. La perspective d'un développement international, par exemple avec d'autres agences de cybersécurité, n'est pas écarté, même s'il n'aurait pas été évoqué jusqu'ici.
