Kaspersky OS : un système « inviolable » pour les objets connectés et équipements réseau

Kaspersky OS : un système « inviolable » pour les objets connectés et équipements réseau

Et ce n'est pas du Linux

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

22/11/2016 4 minutes
126

Kaspersky OS : un système « inviolable » pour les objets connectés et équipements réseau

Kaspersky a présenté en fin de semaine dernière son tout premier système d’exploitation. Sobrement intitulé Kaspersky OS, il ne s’agit pas d’un système conventionnel, mais destiné prioritairement aux équipements réseau. L’éditeur le présente tout simplement comme « inviolable ».

Eugene Kaspersky, fondateur de la société qui porte son nom, s’est dit lassé des perpétuelles fuites de données qui émaillent sans cesse l’actualité ces dernières années. Son entreprise propose donc depuis peu un système d’exploitation dont la sécurité se veut impénétrable. Il dispose de caractéristiques censées le rendre assez peu commun.

Un microkernel et un système neuf

Kaspersky OS est un projet neuf, ne reprenant aucun élément existant, et bâti autour d’un microkernel. Une telle approche est très différente du noyau Linux par exemple, qui lui est monolithique. La plupart des services sont ainsi déplacés en espace utilisateur, ne laissant qu’un ensemble minimal de fonctionnalités dans le noyau lui-même, réduit à sa plus simple expression. Pour information, Windows et macOS ont une approche hybride, mêlant des éléments des deux concepts.

Autour de ce microkernel, on trouve des modules. Ici, l’approche ressemble à ce que l’on trouve dans Cyanogen OS : un système de base, agrémenté d’un nombre plus ou moins important de modules contenant des fonctionnalités. L’administrateur et/ou le constructeur de l’équipement peut choisir les éléments à activer et désactiver, pour ne pas fournir une plus grande surface d’attaque qu’il n’est strictement nécessaire.

kaspersky os

Une défense impénétrable, à moins...

L’autre grande caractéristique de Kaspersky OS est qu’il est – selon le fondateur – virtuellement inviolable. Il dispose d’un composant interne de surveillance pour contrôler sans cesse l’activité des applications et des modules activés. Pour Eugene Kaspersky, le seul moyen de pénétrer les défenses de son système serait de disposer d’un ordinateur quantique pour s’attaquer directement à la signature numérique.

Kaspersky OS n’est par ailleurs pas un système d’exploitation au sens où l’entendent les possesseurs d’ordinateurs, ou même d’appareils mobiles. Résultat d’un développement de 14 ans, il ne possède ainsi aucune interface graphique. Il se destine avant tout aux équipements réseaux et aux objets connectés, l’éditeur semblant viser en priorité les infrastructures SCADA (Supervisory Control And Data Acquisition), c’est-à-dire des systèmes sensibles de contrôle et de gestion des données sur de larges échelles, que l’on trouve dans l’industrie, la production d’électricité, etc.

Quelle commercialisation ? Quid de l'open source ?

Si les clients du système se multiplient, les objets connectés et autres équipements pourraient arrêter de relayer les attaques et autres malwares. La contamination récente de centaines de milliers d’objets et les attaques contre Dyn ont montré l’importance de se pencher sérieusement sur la sécurité de nombreux appareils qui communiquent par Internet.

Pour l’instant, Kaspersky OS n’est présent que sur un seul produit : un switch (de niveau 3) du fabricant russe Kraftway. Reste que l’éditeur du fameux antivirus ne donne pas plus d’indications sur son système. On aurait aimé savoir notamment un peu plus en détails comment fonctionne la surveillance des programmes et ce qui rend l’ensemble si inviolable. Par ailleurs, on ne sait pas non plus comment la société commercialise son produit, ou encore si le code doit devenir open source.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un microkernel et un système neuf

Une défense impénétrable, à moins...

Quelle commercialisation ? Quid de l'open source ?

Commentaires (126)


“système inviolable” : c’est une sorte de ligne Maginot informatique ?


Déclarer ouvertement l’OS inviolable va amener à le tester…


système inviolable… LOL Sans personne pour pouvoir examiner son code c’est du pipeau


Mouais, il est peut-être inviolable, mais il peut être consentant…


C’est pour infiltrer les USA.



<img data-src=" />


Qu’il soit mis à jour régulièrement serait peut-être une meilleure nouvelle que dire qu’il est soi-disant inviolable :/


lol.

&nbsp;

Même s’il était inviolable, on peut faire confiance aux constructeurs pour venir lui greffer des composants qui eux seront blindés de failles de sécurité, par exemple un webui avec une vieille version d’openssl.



Mais c’est un projet intéressant, il a un bon potentiel s’ils le mettent à disposition gratuitement voire sous licence libre.


La tentative est louable mais sans mettre le code en Open Source cela fera qu’un OS de plus pour équipements spécialisés

Une version Open Source serait intéressante notamment pour voir le travail réalisé sur l’isolation des processus, la protection de la mémoire, l’isolation des drivers…


C’est un RTOS?


A quel moment Kaspersky a utilisé le terme “inviolable” ? Je trouve aucune source qui confirme votre information.


Ce n’est pas si bête de leur part de l’annoncer comme inviolable. Outre l’aspect un peu pompeux, c’est surtout une belle manière de titiller les pros du hack et de tester leur OS.


Il dit que ça couterait très cher jusqu’à l’apparition du quantique :



https://eugene.kaspersky.com/2016/11/15/finally-our-own-os-oh-yes/


Si c’est réellement inviolable, ils auraient pu publier le code en open-source, parce qu’avoir confiance en une boîte noire…


j’allais le dire. comment s’assurer un bêta-test grandeur nature.








tiret a écrit :



système inviolable… LOL Sans personne pour pouvoir examiner son code c’est du pipeau







C’est le bon vieux débat qui m’a toujours fait rire

Car si t’as besoin de lire le code pour trouver les failles , il est peut-être plus sûr de ne pas le laisser lire.



mais tout le monde restera sur ses positions

<img data-src=" />



PS: déclarer que c’est inviolable reste une hérésie ridicule



encore faudrait-t-il qu’ils le distribuent… pour l’instant, à part ce routeur russe, personne n’a eu le loisir de l’accueillir…








ActionFighter a écrit :



Si c’est réellement inviolable, ils auraient pu publier le code en open-source, parce qu’avoir confiance en une boîte noire…





raciste



On aimerait surtout voir s’il n’y a pas de backdoor dedans.


Un système propriétaire, avec donc un support de pilotes limité ?

Aucune chance que ce truc soit utilisé dans les IOT.


KasperskyOS &gt;.. Skynet ? <img data-src=" />


J’ai lu cet article, et à aucun moment il n’utilisent le mot « inviolable ». Or NXI à mis ce mot entre guillemets comme une citation, mais ne citent pas du tout la source, et je trouve cette nuance très importante.



A moins que NXI commence aussi à faire du sensationnalisme/désinformation, mais j’espère pas…








darkbeast a écrit :



raciste





Désolé mais les boîtes noires, t’as une chance sur deux de tomber sur un chat crevé, c’est crade.



En fait le système est bourré de failles, mais elles s’annulent toutes.

Comme les maladies de M. Burns ! <img data-src=" />


Non ce n’est pas une citation, c’est l’équivalent de son explication. Le PDG dit “La seule manière de casser ça, c’est d’avoir un ordinateur quantique”. Virtuellement, c’est bien le même message, puisqu’il aborde la seule exception.


“In order to hack this platform a cyber-baddie would need to break the digital signature, which – any time before the introduction of quantum computers – would be exorbitantly expensive.”





Mon petit doigt me dit .. .que les ricains (ibm, google) l’ont déjà cet ordinateur, il faut surtout stabilisé la bête. Avec un taux de chance de …. 75 % ?


En plus, sur son bloc-note,Eugène écrit:



&gt;&nbsp; We’d decided to make an unhackable platform



« inviolable » me semble être une traduction tout à fait correcte de « unhackable ». C’est donc bien une citation <img data-src=" />


Un système avec un Micro-noyau?? La Free Software Fondation a enfin fini HURD&nbsp; ??


14 ans de recherche, mazette le boulot abbatu !



C’est une bonne nouvelle de voir que des OS alternatifs continuent d’apparaitre, dans un monde où le kernel linux prend de plus en plus de place


Bien sûr, c’est d’ailleurs le but premier. Bien évidemment personne hormis de grosses agences de renseignements ou multinationales disposent d’informatique quantique. Je pense que le but c’est justement de dire : “Coucou la NSA, pouvez-vous nous dire si notre système est fiable et inviolable ?”, tout ça indirectement.



<img data-src=" />


Actuellement, le seul micro-noyau qui soit intégralement vérifié c’est seL4 et il reste “limité” à une preuve formelle pour une exécution mono-coeur du micronoyau. Je serai assez étonné que Kaspersky ait réussi le tour de force de faire la même chose les doigts dans le nez sans le hurler à toute la communauté scientifique.



Donc ça pue la grosse com avec peut être quelque chose de conséquent derrière mais probablement pas inviolable, en tout cas sans preuve d’inviolabilité.


A voir les performances si chaque opération est supervisée et bloquée si non conforme selon moi.



Les micro noyau c’est déjà pas bien véloce alors si en plus il y a une supervision de chaque exécution de programme (avec j’imagine les technologies de détection de fonctionnement agressif de Kaspersky qui font leur force) ça peut potentiellement bien ramer.



Sinon belle concentration verticale de cette entreprise, il ne leur reste plus qu’à proposer des terminaux mobiles et ils auront une offre magnifique (pour qui n’a pas peur des services russes <img data-src=" /> )


Non, en sécurité info. cela s’appelle un appel à un pentestt massif.


Grâce à toi, je peux faire le chat finalement&nbsp;<img data-src=" />


Ce clickbait… <img data-src=" />





In order to hack this platform a cyber-baddie would need to break the digital signature, which – any time before the introduction of quantum computers – would be exorbitantly expensive.



Il a jamais dit que c’était inviolable, au contraire il dit que c’est possible mais que sans ordinateur quantique ça coûterait une blinde.



Pire, il en rajoute une couche:



No one besides us paranoids really had any idea that data security could directly affect physical security. Nor were they aware that literally all digital systems in existence around the world can be hacked.

[…]

I also hope it’s clear that it’s better – no matter how difficult – to build IoT/infrastructure devices from the very beginning in such a way that hacking them is practically impossible. Indeed, that is a fundamental goal with Kaspersky OS.



Ils savent pertinemment que tout système informatique peut être hacké et c’est leur but premier de faire en sorte qu’il soit pratiquement impossible de hacker ces systèmes.


+1, la diversité , la différence rien de mieux.


A priori L4 dont parle Krass’Peuk remplacerait match dans hurd justement à terme.


tu sais quand tu poses un samhain sur un linux : accroches toi pour le dézingué …








coket a écrit :



C’est un RTOS?





Rien ne semble indiquer ça, donc ça ne l’est probablement pas.





JoePike a écrit :



C’est le bon vieux débat qui m’a toujours fait rire

Car si t’as besoin de lire le code pour trouver les failles , il est peut-être plus sûr de ne pas le laisser lire.





On a la preuve depuis très longtemps que le closed source ne protège pas des failles. Par exemple, on n’arrête pas de trouver des failles dans les logiciels Microsoft et Adobe qui sont pourtant closed source.

Par contre pour trouver une backdoor volontaire sans le code source, c’est théoriquement faisable a partir du code désassemblé mais si c’est bien fait ça peut être terriblement compliqué.



Il semblerait que VH soit pas le seul à pas comprendre l’anglais.


<img data-src=" />


Oui on peut continuer à ergoter si tu veux. Si pour pénétrer ses défenses il faut faire face à des coûts totalement exorbitants, c’est que le système est virtuellement inviolable. J’indique d’ailleurs ces deux mots (à la suite en plus) dans la news. Pour le titre, j’ai fait au mieux compte-tendu de l’espace disponible, et j’ai mis les guillemets pour indiquer que c’était sujet à interprétation.&nbsp;


Marmotte, chocolat, papier d’alu, tout ça…


c’est le sous-titre

fallait mettre “presque comme Linux”



<img data-src=" />


D’ici là Genode aura remplacé hurd sur L4


Ça s’appelle une porte dérobée.

C’est toujours sympa de pouvoir passer par derrière <img data-src=" />


Quel L4 ? ;) . L4 c’est une génération de micronoyau, mais il y en a une multitude sur ce modèle.








tpeg5stan a écrit :



Qu’il soit mis à jour régulièrement serait peut-être une meilleure nouvelle que dire qu’il est soi-disant inviolable :/







S’il est inviolable, il n’a pas besoin d’être mis à jour :-)









ledufakademy a écrit :



“In order to hack this platform a cyber-baddie would need to break the digital signature, which – any time before the introduction of quantum computers – would be exorbitantly expensive.”





Mon petit doigt me dit .. .que les ricains (ibm, google) l’ont déjà cet ordinateur, il faut surtout stabilisé la bête. Avec un taux de chance de …. 75 % ?





Voilà. Exactement. Ca m’étonait aussi qu’ils parlent d’inviolabilité. Il s sont quand même super bien placés pour savoir que 1°/ ça serait faux et 2°/ suividaire niveau marketing de dire ça pour une societé spécialisée dans la sécurité informatique



En VF, ils préfèrent dire “impiratable”.

Je me demande pourquoi…



https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcRL2eaS6M4gXqiPHMmBXRqKmjwk8wxrzebi-iB8_OakvmbljzBy


à quand une Kaspersky OS-tan? J’peux aller commissionner&nbsp; les artistes si c’est que ça.<img data-src=" />








Mr.Nox a écrit :



Déclarer ouvertement l’OS inviolable va amener à le tester…







ce qui va permettre justement la mise en situation à l’échelle réelle : tout faire foirer, ou avoir la best publicité ever.



si ils ont raison, ils vont se faire plus de couilles que microsoft..









tiret a écrit :



système inviolable… LOL Sans personne pour pouvoir examiner son code c’est du pipeau





le mec qu’a rien compris…. si faille il y a nul besoin d’analyser le code source, que je sache windows n’est pas opensource et c’est bien le produit phare sous le feu des linuxiens-intégristes qui le mettent au bucher au premier correctif venu.









JoePike a écrit :



C’est le bon vieux débat qui m’a toujours fait rire

Car si t’as besoin de lire le code pour trouver les failles , il est peut-être plus sûr de ne pas le laisser lire.



mais tout le monde restera sur ses positions

<img data-src=" />



PS: déclarer que c’est inviolable reste une hérésie ridicule



Le plus marrant, c’est qu’il y en a encore pour croire qu’on trouve les failles juste en lisant un code…



c’est vrai, énorme différence avec “il faut un ordi quantique opérationnel” et c’est “pratiquement impossible à hacker”.

mais ils n’ont pas parlé d’inviolabilité, ouf!

on y était presque pourtant, c cho!



quel gros troll ce Vincent!

putain laisse tomber gros, NXI c’est vraiment devenu nawak avec des news putaclick et des titres clickbait.



<img data-src=" />








ledufakademy a écrit :



Non, en sécurité info. cela s’appelle un appel à un pentestt massif.







ou un honeypot bien ficelé….



kaspersky, en quinze ans, fait enfin bouger la sphere de la cybersécurité en proposant une initiative bien rodée.

Et le franco-francais trop protectionniste va l’attaquer de toutes part puisqu’il est jaloux que ce soit russe =) =)



oui bien sur il peut y avoir des failles, mais pour la simple initiative meme si c’est violable je salue l’initiative, on verra pas d’ent francaise aller jusque la (c’est bien dommage, vu l’apport en R/D que ca amene)









ledufakademy a écrit :



+1, la diversité , la différence rien de mieux.





la diversité est une tres bonne idée si elle est accompagnée d’un support intégral équilibré sur l’ensemble des éléments composant cette diversité.

ca se casse la gueule , sur du linux en un point :

debian, t’installes ton imprimante facile

essaie sur une dist linux LFS, non basée sur du debian/RH, bon courage bro…



la diversité est en train de clairement tuer linux..



Pour qu’un os soit fortement sécurisé(j’irai pas jusqu’à inviolable) il faut respecter plusieurs critères:

1)MicroNoyau sinon n’importe quel driver fait tout plomber

2)Le système doit être écrit en code safe sinon les failles d’élevation de privilèges sont toujours possibles




  1. toutes les applications doivent être sandboxés. On peut même faire tourner des applications en C++ à condition que les points 2 et 3 soient respectés.

  2. signer numériquement toutes les applications et créer une chaîne de trust

  3. on peut imaginer un module antivirus intégré dont l’intégrité sera assuré par les points précédents.



    Apparemment le noyau de kaspersky OS est écrit en C++ donc le point 2 n’est pas respecté:

    http://eugenekasperskyru.files.wordpress.com/2012/10/1111.gif








charon.G a écrit :



Pour qu’un os soit fortement sécurisé(j’irai pas jusqu’à inviolable) il faut respecter plusieurs critères:

1)MicroNoyau sinon n’importe quel driver fait tout plomber

2)Le système doit être écrit en code safe sinon les failles d’élevation de privilèges sont toujours possibles




  1. toutes les applications doivent être sandboxés. On peut même faire tourner des applications en C++ à condition que les points 2 et 3 soient respectés.

  2. signer numériquement toutes les applications et créer une chaîne de trust

  3. on peut imaginer un module antivirus intégré dont l’intégrité sera assuré par les points précédents.



    Apparemment le noyau de kaspersky OS est écrit en C++ donc le point 2 n’est pas respecté:

    http://eugenekasperskyru.files.wordpress.com/2012/10/1111.gif









    sinon, tu peux remplacer l’ordi par une ampoule, théoriquement ya pas de faille possible (sauf impayés edf lol)









Soriatane a écrit :



Un système avec un Micro-noyau?? La Free Software Fondation a enfin fini HURD&nbsp; ??







hurd? le truc qui en 2040 sera au centre du débat linux/hurd/bsd voyant tous les libristes intégristes se taper sur la gueule?



purée le libre…. oui, sont bien trois, un dans chaque camp suffit heureusement..









trekker92 a écrit :



sinon, tu peux remplacer l’ordi par une ampoule, théoriquement ya pas de faille possible (sauf impayés edf lol)



http://m.memegen.com/d39g0p.jpg



le sens de mon propos est que la sécurité par l’obscurité est bien plus dangereuse que le code ouvert, dans le sens où la probabilité que certains se mettent à utiliser des failles non divulguées avant qu’elles ne soient corrigées apparaît bien plus élevée


Hurd ne supporte toujours pas l’USB de mémoire… <img data-src=" />



Quand ils en auront implémenté le support on sera aux ordis quantiques… d’ailleurs ils reconnaissent eux-mêmes qu’ils ne sont pas sûrs qu’une version stable sorte un jour.








tiret a écrit :



Hurd ne supporte toujours pas l’USB de mémoire… <img data-src=" />





En même temps, du jour où il sera supporté ça n’en fera qu’un système vulnérable de plus.





Et ce n’est pas du Linux



<img data-src=" /> <img data-src=" />


On est pas encore vendredi <img data-src=" />


”- J’viens de violer Kasperky !!!




  • Kasperky OS ? T’as déja trouvé une faille !?

  • OS ? Non, Eugène, il avait laissé la fenêtre de sa chambre ouverte.”









    ————-[]


pouhhh.



on conchie la france , on autoflagelle , on s’excuse de tout notre passé : pourquoi faire notre hardware , notre soft , pourquoi être fiers ?



….alors bon : on continue ou on relève la tête comme au temps du CNR avec De Gaulle ?



Le peuple devra choisir en 2017, soit d’être soumis toujours aux même , soit de relever la tête !

j’ai déjà choisi mon camps .



Pour in fo tu as pcengine (suisse)qui propose des bon appliance secu. : donc c possible et rien de nouveau


Je dois être le seul qui ne trolle pas sur cette news mais bon <img data-src=" />

Après vu ce qu’annonce kaspersky il ne faut pas s’étonner de prendre le retour de baton, il fallait oser… <img data-src=" />


Pour reprendre ce que dit ledufakademy, en vrai, un système inviolable c’est un appel au viol.


Au lieu de partir sur un truc formellement vérifié comme CertikOS… Là y’a pas de formel, donc inviolable/unhackable/whatever, c’est fortement improbable, surtout avec du C++.








tiret a écrit :



système inviolable… LOL Sans personne pour pouvoir examiner son code c’est du pipeau







Pas besoin du code pour tester la sécurité…

La question est plutôt : comment garantir que ce n’est pas un cheval de Troie dans un réseau ? Et là, la présence des sources est indispensable









Obidoub a écrit :



On aimerait surtout voir s’il n’y a pas de backdoor dedans.





Sans parler de backdoor, il faudrait connaître ce qui peut être remonté aux serveurs de chez Kaspersky.









Ksass`Peuk a écrit :



Actuellement, le seul micro-noyau qui soit intégralement vérifié c’est seL4 et il reste “limité” à une preuve formelle pour une exécution mono-coeur du micronoyau. Je serai assez étonné que Kaspersky ait réussi le tour de force de faire la même chose les doigts dans le nez sans le hurler à toute la communauté scientifique.



Donc ça pue la grosse com avec peut être quelque chose de conséquent derrière mais probablement pas inviolable, en tout cas sans preuve d’inviolabilité.







Ah mon avis, faut pas rêver… ils sont pas allés jusqu’à appliquer de la recherche fondamentale sur ce point.

C’est déjà couillu d’avoir développé un OS from scratch (même si ce n’est “que” pour un switch) et ils ont du foutre du chiffrement et des signatures partout ainsi que les techniques de qualité les plus à la pointe.

Et puis, pour un switch, faut de la perf quand même donc ils ont pas pu mettre en place des solutions ultra-complexes non plus…









ledufakademy a écrit :



pouhhh.



on conchie la france , on autoflagelle , on s’excuse de tout notre passé : pourquoi faire notre hardware , notre soft , pourquoi être fiers ?



….alors bon : on continue ou on relève la tête comme au temps du CNR avec De Gaulle ?



Le peuple devra choisir en 2017, soit d’être soumis toujours aux même , soit de relever la tête !

j’ai déjà choisi mon camps .



Pour in fo tu as pcengine (suisse)qui propose des bon appliance secu. : donc c possible et rien de nouveau







carrément :

a) tu cites une initiatives suisse

b) pour la france ya plus rien, a part nos lamentations qui dureront

c) je vois pas le rapport entre l’économie numérique et une présidentielle, sachant que les ministres sont pas capables de déployer la fibre ou ipv6 en dix ans, maintenant faut qu’on dev un OS reconnu?

on ay pa dan la mayrde







ErGo_404 a écrit :



Pour reprendre ce que dit ledufakademy, en vrai, un système inviolable c’est un appel au viol.





mais ca n’est pas un probleme, c’est comme un audit géant sans pardon qui ferait une publicité ééééénorme a kas’ si ils disent vrai.

je demande à voir, mais certains risque de pleurer de voir qu’ils ont pas forcément tort.










charon.G a écrit :



Pour qu’un os soit fortement sécurisé(j’irai pas jusqu’à inviolable) il faut respecter plusieurs critères:

1)MicroNoyau sinon n’importe quel driver fait tout plomber

2)Le système doit être écrit en code safe sinon les failles d’élevation de privilèges sont toujours possibles




  1. toutes les applications doivent être sandboxés. On peut même faire tourner des applications en C++ à condition que les points 2 et 3 soient respectés.

  2. signer numériquement toutes les applications et créer une chaîne de trust

  3. on peut imaginer un module antivirus intégré dont l’intégrité sera assuré par les points précédents.







  4. le système doit être écrit sans bugs ni failles de sécurité



    <img data-src=" />









trekker92 a écrit :



mais ca n’est pas un probleme, c’est comme un audit géant sans pardon qui ferait une publicité ééééénorme a kas’ si ils disent vrai.

je demande à voir, mais certains risque de pleurer de voir qu’ils ont pas forcément tort.







Le problème dans ce genre de cas est que tu n’as aucune garantie que les failles trouvées seront publiées ou même remontées à l’éditeur… donc ils pourront peut-être surfer sur une vague de “personne n’a cassé notre OS nananèreu” sauf que la vérité sera plutôt “personne n’a annoncé avoir cassé notre OS”



Sauf que le système dans sa globalité ce n’est pas possible. Il y a trop de lignes de code en jeu. Par contre au niveau des micro noyau eux même c’est possible. Ils peuvent formaliser le code et prouver que le code est sans faille.

H4rvester a cité un exemple mais il y a aussi safe os http://www.driverscloud.com/fr/actualite/498-1/safeos-un-os-entierement-safe)



Le code de l’hyperviseur d’Hyper-V se situe aussi dans ce cas. Tout a été prouvé mathématiquement.








MasterDav a écrit :



Ce clickbait… <img data-src=" />





Il a jamais dit que c’était inviolable, au contraire il dit que c’est possible mais que sans ordinateur quantique ça coûterait une blinde.



Pire, il en rajoute une couche:



Ils savent pertinemment que tout système informatique peut être hacké et c’est leur but premier de faire en sorte qu’il soit pratiquement impossible de hacker ces systèmes.







La sécurité n’est qu’une question de rentabilité.

C’est la question de savoir quel est le cout de la perte ou la découverte ce qu’on doit protéger versus le cout de la protection.

Et de l’autre coté, c’est la question de savoir quel est le cout de l’attaque versus le gain potentiel de ce qu’on veut récuperer.



A partir du moment où on parle d’inviolabilité, tout le monde sait que c’est pas inviolable dans l’absolu mais juste que le cout de l’attaque est exorbitant. Après, faut pas oublier qu’une solution soit-disant inviolable est toujours soumise à une DLC… c’est ce qu’oublient beaucoup de boites généralement…



Y’a pas de clickbait là dedans… c’est juste implicite quoi…









charon.G a écrit :



Sauf que le système dans sa globalité ce n’est pas possible. Il y a trop de lignes de code en jeu.







Nan mais c’était de l’ironie, hein…







charon.G a écrit :



Par contre au niveau des micro noyau eux même c’est possible. Ils peuvent formaliser le code et prouver que le code est sans faille.







Non mais faut pas trop s’enflammer avec les micro-noyaux, hein… C’est pas le saint-graal de l’OS… ni en sécurité, ni en qualité, ni en fonctionnalités.

Windows NT était (en partie) micro-noyau, ça ne l’a pas empêché d’être une grosse daube.







charon.G a écrit :



Le code de l’hyperviseur d’Hyper-V se situe aussi dans ce cas. Tout a été prouvé mathématiquement.







Ouais, ouais…



Manière de sentir le vent tourner: Probable que ce type de système ait un avenir… excluant le besoin d’un anti-virus! Alors quand on fait des A-V, eh bien mieux vaut sortir ce type de produit! Et conserver un avantage stratégique pour la russie?

En réalité, un OS n’ayant pas besoin de rustines sans arrêt, c’était la norme avant le DOS et Microsoft…


slurp slurp slurp


Super le gros troll……

Windows NT est le noyau utilisé dans tous les windows récents et c’est loin d’être une daube. Son seul défaut : Les drivers tournent en kernel mode ce qui plombe tout. Linux a le même problème. Mais la tu ne vas pas dire que c’est une daube…..



Pour les Micro noyaux(les vrais) les drivers n’ont surtout pas les mêmes droits que le noyau. En terme de qualité tu te taperais beaucoup moins de bsod ou kernel panic(85% des crash ce sont les drivers).

Au niveau sécurité sur un système comme midori par exemple le driver est aussi sandboxé et a les mêmes droits qu’une application classique.








KP2 a écrit :



Le problème dans ce genre de cas







ya pas de probleme, on parle d’une initiative pour experimenter un OS sans failles revendiqué, reste à voir s’il tiendra la dose d’attaques qu’il va recevoir, et notamment remarquer si intrusion a lieu ou pas.

mais meme si ya intrusion, ca ne peut pas etre un probleme puisque ca permet un avancement en R/D.



je repete, cette initiative ne peut que faire avancer kasp’..



Sûrement une myriade de données. Pour moi ça sent le sapin et l’espionnage économique en perspective.



<img data-src=" />








trekker92 a écrit :



ya pas de probleme, on parle d’une initiative pour experimenter un OS sans failles revendiqué, reste à voir s’il tiendra la dose d’attaques qu’il va recevoir, et notamment remarquer si intrusion a lieu ou pas.

mais meme si ya intrusion, ca ne peut pas etre un probleme puisque ca permet un avancement en R/D.



je repete, cette initiative ne peut que faire avancer kasp’..







Ben moi, je répète : seulement si les failles trouvées sont annoncées. Après, c’est sur que ça va les faire avancer, c’est évident mais ils n’auront jamais de garantie que leur bazar est vraiment aussi safe qu’ils le disent.









ActionFighter a écrit :



Désolé mais les boîtes noires, t’as une chance sur deux de tomber sur un chat crevé, c’est crade.





C’est pourtant si simple de ne pas tuer le chat, il suffit de ne pas ouvrir la boite.



A moins qu’il ne soit gratuit, open-source et multiplateforme, je serais très étonné que cette OS devienne un succès planétaire… Au mieux ca restera une preuve de concept russe.








127.0.0.1 a écrit :



A moins qu’il ne soit gratuit, open-source et multiplateforme, je serais très étonné que cette OS devienne un succès planétaire…



Windows n’est aucun des trois, et pourtant…









127.0.0.1 a écrit :



A moins qu’il ne soit gratuit, open-source et multiplateforme, je serais très étonné que cette OS devienne un succès planétaire… Au mieux ca restera une preuve de concept russe.







Hum.. pour l’instant, c’est encore difficile d’appeler ça un OS à proprement parler. C’est plutôt une sorte de super-firmware pour switchs. Et encore, faut voir ce qu’il est capable de faire en vrai…



En tout cas, je doute que l’objectif soit de faire tourner un serveur avec un jour. Ou même “juste” un NAS de base…



Prouvé ne signifie pas complexe. C’est même plutôt l’inverse en fait. Donc sur le plan micronoyau, avec du budget, si, c’est de l’ordre du faisable en 14 années de faire un micronoyau prouvé (10k LOC). Sur le plan perf seL4 n’est pas mal du tout. Son problème c’est de n’être exécutable que sur un thread worker pour l’OS. Et si tu es prêt à laisser un tout petit peu de perf de côté, le cloisonnement obtenu est notable.



&nbsp;Actuellement, les plus gros problème qu’il y a pour les preuves de micronoyau sur multi-coeur, outre la difficulté de la concurrence elle-même (déjà présente à un autre niveau sur mono-coeur), c’est surtout les modèles mémoire de processeur/langage. C’est pour ça que d’une part, il y a des travaux pour la vérification de programmes sous les modèles mémoires faibles côté langage (variantes de logiques pour ces modèles) mais également pour la création de compilateur prouvé et prenant en compte ces modèles dans leur preuve de correction (CompCert-TSO par exemple).


de la concurrence à OpenBSD.








ITWT a écrit :



En VF, ils préfèrent dire “impiratable”.

Je me demande pourquoi…





Parce que si on a assez d’infos et de moyens on peut toujours intercepter le matos et y greffer une puce « bonus » avant livraison ?

Sans troll, ils limitent les conditions d’attaque au système et se dédouanent du matériel et du soft ?



Le succès actuel de Windows est dû à la fructification du succès de “windows 3”, qui lui même doit son succès aux peu d’alternatives de l’époque (le couple “MS DOS + win3” était plus polyvalent que le monolithe OS/2)



Aujourd’hui, c’est différent. Le hardware de l’IoT est assez costaud pour faire tourner Linux, ce qui donne accès a un l’énoooorme écosystème logiciel de Linux. Alors pourquoi s’embêter avec un OS fait en maison russie ?


Je leur souhaite d’avoir raison pour la simple et bonne raison que j’ai envie que les systèmes critiques en france et dans d’autres pays soient bien protégés, et je ne doute pas un instant que leur système est très, très, très robuste, mais on a rarement vu des systèmes inviolables dans la nature.








charon.G a écrit :



Pour les Micro noyaux(les vrais) les drivers n’ont surtout pas les mêmes droits que le noyau. En terme de qualité tu te taperais beaucoup moins de bsod ou kernel panic(85% des crash ce sont les drivers).





A se demander a quoi servent des programmes de certification de drivers… Moins de crash ne voudra pas dire pour autant un système fonctionnel, ce qui reste quand même le but. Par contre, faire du driver hors espace mémoire noyau c’est un impact performance. Niveau sécurité, avoir le matériel drivé par le côté user n’est pas non plus sans conséquence.









lateo a écrit :



Parce que si on a assez d’infos et de moyens on peut toujours intercepter le matos et y greffer une puce « bonus » avant livraison ?

Sans troll, ils limitent les conditions d’attaque au système et se dédouanent du matériel et du soft ?







C’était pur second degré, il fallait ouvrir le lien (en c/c) pour comprendre.



Les programmes de certifications de drivers n’ont jamais assuré le zero bug(c’est aussi idiot que le choix 6 plus haut) . Sauf que sur un noyau classique un simple bug c’est le crash assuré.



Pour les performances j’ai déjà expliqué plusieurs fois que le projet midori basé sur un micro noyau safe était un système hautes performances plus rapide que Windows. tous les papiers et sources disponibles en parlaient. Vu que l’isolation des SIP(processus isolés) ne se faisaient pas par le processeur(ring 0/3) mais par le langage les appels systèmes obtenaient des performances élevés équivalentes à l’appel de simples routines.



Ensuite le langage M# fonctionnait comme rust de plusieurs façons. Une bonne partie des vérifications se faisaient à la compilation grâce au compilateur bartok. Bartok effectuait tout un tas de vérifications dès la compilation. Il optimisait aussi grandement l’usage du “many core”.



Je l’explique déjà depuis des années mais certains qui se reconnaîtront sont vraiment de mauvaise foi. Dernièrement Mozilla a présente son projet Quantum et plus particulièrement servo. Certains libristes qui ont craché sur Midori pendant des années en utilisant l’argument faussé de la performance ont salué l’effort. Tout les benchs de servo annoncent des performances très élevés sur ce navigateur. Il est écrit en rust un langage safe et effectuait le même genre d’optimisations que midori. Ou sont passés les personnes qui critiquaient les performances des langages safe quand quantum a été annoncé? Comme je l’avais dit il était idiot de comparer à C# ou java et avec des optimisations on peut arriver à de très bons résultats. Au final quantum est beaucoup plus rapide que firefox avec seulement une partie du code en rust. Si les préjugés sur les performances du code safe avaient été fondés on aurait observé une nette baisse de performance mais ce n’est pas du tout le cas. C’est même le contraire….





Niveau sécurité, avoir le matériel drivé par le côté user n’est pas non plus sans conséquence.



Explique moi ça. parce que bon tu préfères peut être la situation actuelle où les drivers obtiennent les pleins privilèges sur la machine.


… mais également la possibilité de recompiler, cf. la TiVo-isation (et de vérifier le compilateur pour qu’il n’insère pas de Trojan à la volée). Donc oui c’est hyper compliqué.








charon.G a écrit :



(1) Pour les performances j’ai déjà expliqué plusieurs fois que le projet midori basé sur un micro noyau safe était un système hautes performances plus rapide que Windows. tous les papiers et sources disponibles en parlaient.



(2) Ensuite le langage M# fonctionnait comme rust de plusieurs façons. Une bonne partie des vérifications se faisaient à la compilation grâce au compilateur bartok. Bartok effectuait tout un tas de vérifications dès la compilation.&nbsp;



(3)&nbsp; Il est écrit en rust un langage safe et effectuait le même genre d’optimisations que midori. Ou sont passés les personnes qui critiquaient les performances des langages safe quand quantum a été annoncé?&nbsp; Au final quantum est beaucoup plus rapide que firefox avec seulement une partie du code en rust. Si les préjugés sur les performances du code safe avaient été fondés on aurait observé une nette baisse de performance mais ce n’est pas du tout le cas.

&nbsp;

(4) Explique moi ça. parce que bon tu préfères peut être la situation actuelle où les drivers obtiennent les pleins privilèges sur la machine.







&nbsp;(1) Il y a des articles côté MsResearch pour ça ? Je suis pas mal les travaux de Cohen, Leino et Bjorner, qui sont plus du côté formel, mais je n’ai jamais vu mention de Midori du côté de la communauté scientifique (et encore moins de M#).



(2) Pour Rust, avec Patina on aura bientôt une formalisation complète. Peut-être un futur CompCert-Rust en perspective <img data-src=" /> . Cela dit je n’ai pas fondamentalement de problème avec les langages moins vérifiés à la compilation si on a un analyseur statique qui permet de faire des vérifications sur le code avant de le compiler. Un point sur lequel Rust pourrait affiner un peu serait de rendre la propriété “unsafe” moins violente. Par exemple dans le CppGuidelines, un truc sympa est la possibilité de désactiver une vérification particulière plutôt que toutes les vérifications.



(3) Un code plus défini formellement, c’est toujours de l’information supplémentaire pour mieux optimiser. C’est pour ça que par exemple du côté de CompCert, il y a des travaux pour extraire de l’info sémantique supplémentaire à partir du code reçu (par exemple par interprétation abstraite) pour produire des optimisations plus fines. Après, se pose quand même la question de savoir quel est le pourcentage de code unsafe dans la partie Rust de Quantum.



(4) Pareil.



Merci pour ta réponse détaillée ;)



Pour le 1 tu as le blog de joeduffy qui est l’ancien chef de projet de Midori. Il a écrit pas mal d’articles sur le sujet. A noter qu’il aime bien rust et est derrière les cppguidelines.

http://joeduffyblog.com/

Je te conseille aussi le twitter de felixhttps://twitter.com/h0x0d, il a trouvé vraiment pas mal de trucs sur le sujet.

Des brevets sont aussi disponibles sur freepatentonline qui explique certains fonctionnements de Midori en détail. Je n’ai pas les liens directement de mémoire mais ils se retrouvent.

Pour le 2, plusieurs concepts de checked c sont communs avec les cpp guidelines:

https://www.microsoft.com/en-us/research/project/checked-c/

Je pense que Microsoft compte proposer ces changements dans la norme c++ a terme.



Ensuite je l’avais déjà dit, Midori a été abandonné il y a un an. En réalité il était trop éloigné techniquement de Windows. Si Microsoft avait sorti un nouvel os, même avec une compatibilité Win32 il aurait crée une réelle rupture. C’est pour cette raison que Windows 10 est mis à jour graduellement de façon contrôlée. Apparemment il existe une team au sein de Windows qui travaille sur une intégration de plusieurs concepts de Midori au sein de Windows 10. Il y a des chances pour qu’ils aient choisi un langage du type de checked C. Il a l’avantage d ‘être compatible avec C++ et de permettre une mise à jour incrémentielle du code de Windows sur le temps. Rob Jellinghaus un ancien de midori en parle sur son blog.

https://robjsoftware.org/2016/10/



D’après une de mes connaissances qui bossent chez Microsoft mais je crois que l’information a été aussi confirmé sur une ancienne offre d’emploi. Cette équipe travaillerait en priorité sur edge. J’imagine qu’ils vont faire la même chose que servo.


Merci ! <img data-src=" />


J’ai oublié aussi de dire que Midori s’inspire aussi largement du projet singularity. Tu trouveras tout un tas de papiers sur le site du MSR.








charon.G a écrit :



Explique moi ça. parce que bon tu préfères peut être la situation actuelle où les drivers obtiennent les pleins privilèges sur la machine.





D’une part l’élévation de privilège pour prendre le contrôle d’un matériel (potentiellement sensible, genre une carte réseau) sera moindre (donc a priori plus aisée). Et d’autre part, l’impact sur la qualité de leur codage (déjà un problème vu tes chiffres) n’ira amha pas dans le bon sens car les bugs auront des conséquences moindres.



En fait sur Midori ou Singularity il n’y a plus une séparation administrateur où tout(enfin quasiment tout sur Windows) est permis et le côté userland avec moins de droits mais où en réalité on peut toujours faire pas mal de choses….



Je sais que ces deux os utilisent un système de permission avancé pour chaque SIP. A chaque installation toutes les dépendances sont complètement vérifiées. Mais je ne pourrais pas te détailler plus le fonctionnement j’ai zappé cette partie. Mais je sais que dans les sources de singularity on trouve un pdf qui en parle en détails.



Sur Midori chaque SIP(Software Isolated Process) est isolé et sandboxé. La mémoire de ce processus est scellée au runtime. C’est pour cette raison que mêmes les dll ont leurs propres SIP. Sur Midori et Singularity les performances des processus sont proches de celles d’un thread. Sur windows plusieurs mécanismes IPC existants modifient la mémoire du processus. Sur Singularity et Midori il n’y a pas d’api de code exportable ou de partage mémoire au sein d’un processus. (A noter que UWP s’en inspire sur certains aspects, même si bien sur, il ne va pas aussi loin) Tous les données échangées sont spécifiés et structurées dans un langage formel spec#. Tout passe par des canaux de communication et une sorte de tas partagé. En gros il n’y a pas de pointeurs à aucun moment que ce soit entre le système et les SIP ou les sip eux mêmes. Les SIP sont en code safe et totalement isolées entre eux. le micro noyau aussi. Donc tu ne peux pas avoir de failles d’escalades de privilèges. Au pire tu peux avoir un bug, mais une exception serait jetée ,ca ne produirait pas un crash comme avec une application C++. l’intégrité mémoire d’un SIP reste intacte même avec un crash(langage safe) . Le module en question pourrait être redémarré de façon isolée. Il ne peut pas y avoir de faille de sécurité vu que les buffers overflow n’existent pas avec les langage safe.



Pour la qualité du codage qui diminuerait suite à la résilience du système, Sur Midori ils ont repris tout le système de drivers. Je sais que le code nécessaire pour écrire un driver a été largement réduit. Il y a aussi un autre aspect du fait des caractéristiques techniques de Midori les outils de vérifications statiques du code écrits par le MSR sont beaucoup plus efficaces sur ce système. Si un tel système sortait je pense qu’au contraire la qualité n’aurait rien à voir avec ce qu’on connait.


Si c’est comme leur antivirus … No way !


Sauf erreur de ma part, il es possible dans Linux les drivers du noyau (du moins certains).


Oui Depuis Vista tu as aussi plusieurs drivers en espace utilisateur ou le duo driver kernel et driver user(pile graphique et audio par exemple). Mais ça ne concerne pas l’ensemble des drivers.








picatrix a écrit :



“système inviolable” : c’est une sorte de ligne Maginot informatique ?





oui, l’ennemi vient par derrière









ledufakademy a écrit :



“In order to hack this platform a cyber-baddie would need to break the digital signature, which – any time before the introduction of quantum computers – would be exorbitantly expensive.”





Mon petit doigt me dit .. .que les ricains (ibm, google) l’ont déjà cet ordinateur, il faut surtout stabilisé la bête. Avec un taux de chance de …. 75 % ?







Google :

http://www.lesechos.fr/10/12/2015/lesechos.fr/021548110969_google-presente-son-o…



http://www.silicon.fr/ordinateur-quantique-google-2017-156567.html



Microsoft :

http://www.silicon.fr/microsoft-lance-course-1er-ordinateur-quantique-163126.htm…



IBM :

http://www.cnetfrance.fr/news/ibm-met-un-ordinateur-quantique-en-libre-acces-sur…






Ça fait plaisir de revoir ce genre de fils de discussion, on se croirait sur PCI en 2008 xD



Et +1 pour Singularity/Midori pour avoir pas mal lu les différents blogs des développeurs de ces projets, ce n’est clairement pas à cause des performances ou de la sécurité que le projet n’a pas pu aller jusqu’à une phase commerciale mais bien à cause de la compatibilité avec l’écosystème existant…



Après sachant que l’UWP devait être compatible avec Midori on peut toujours espérer que Midori ressorte d’une façon ou d’une autre à travers Windows 10 dans quelques années..


je sais.








arno53 a écrit :



Ça fait plaisir de revoir ce genre de fils de discussion, on se croirait sur PCI en 2008 xD



Et +1 pour Singularity/Midori pour avoir pas mal lu les différents blogs des développeurs de ces projets, ce n’est clairement pas à cause des performances ou de la sécurité que le projet n’a pas pu aller jusqu’à une phase commerciale mais bien à cause de la compatibilité avec l’écosystème existant…



Après sachant que l’UWP devait être compatible avec Midori on peut toujours espérer que Midori ressorte d’une façon ou d’une autre à travers Windows 10 dans quelques années..





+1000, j’expliquais déjà à l’époque que si le projet n’aboutissait pas ce serait pour des raisons de compatibilité avec l’écosystème existant. Ce n’est pas le premier projet qui devait remplacer Windows. Au final ils ont toujours choisi d’intégrer les changements dans Windows.



Le lien que j’ai posté plus haut https://robjsoftware.org/2016/10/20/the-future-is-further-than-you-think/) l’explique très bien. Plusieurs technos de Midori devraient être integrées au fil du temps dans Windows 10.



D’ailleurs (je ne l’ai jamais fait moi même) il est possible de choisir ceci à la compilation du noyau sous Linux, non ?


Ce n’est pas aussi facile qu’une simple recompilation. Pour que le module soit chargé en espace utilisateur il faut que ce soit géré spécifiquement. Par exemple je crois qu’il existe des api spécifiques pour faire tourner certains systèmes de fichiers en espace utilisateur sur Linux.



Sur Windows tu as UMDF(User-Mode Driver Framework). Ils ont essayé de le relier au maximum avec KMDF(Kernel-Mode Driver Framework) . Mais pour les raisons que j’explique après il ne vise pas l’ensemble des classes de matériels disponibles.

Les systèmes actuels ne proposent pas de mettre l’ensemble des drivers en espace utilisateur pour des raisons de performances. Les contextes switch gérés par le processeur sont la cause principale. La plupart des micro noyaux ont des techniques particulières pour pallier à ce problème.


Je la ressortirai celle-là.



En même temps, la boîte noire, c’est la seule chose qui est recherchée vraiment après un crash.


Je pense que leur système intégre un baseline dans laquelle sont analysés au demarrage les services et fichiers présent et ils sont flaggés avec une sorte de SHA-1 ce qui permet de controler leur état et leur statut et toute modifications. C’est une technique courante entre autre sur Linux