Il y a peu, je suis parti au Mexique pour le boulot. J’ai donc respecté une des règles de base lors d’un départ à l’étranger, l’utilisation d’un poste dédié, avec un OS proche de celui de l’ANSSI.
Il s’agit d’un OS qui se veut sécurisé par le principe de cloisonnement, faisant (en simplifiant grossièrement) que Firefox n’a pas accès aux clefs USB, que votre partie professionnelle ne voit rien de ce qui tourne sur la partie personnelle, etc.
Du fait d’un accès « complet » à la base de l’ordinateur (dom0, voir plus loin) QubesOS n’est pas fait pour plus d’un utilisateur.
J’avais peur, car souvent, sécurité rime avec hostilité. Que nenni !
En revanche, impossible de le faire sur une VM (me concernant) et les captures de mon propre écran rende excessivement mal.
Mais voici une vidéo qui vous montre l’installation, certes de la version 3.2, mais la méthode reste la même pour la version 4.
Qubes OS vous fourni par défaut, plusieurs environnements (qubes) comme :
Le qube sys-net va être la « couche » qui va gérer les accès réseaux entre les différents Qubes, le « sys-firewall » va faire la même chose pour la partie firewall.
L’équipe fournit aussi plusieurs « domain » et « template ».
Chaque domain s’appuie sur un template.
Ainsi votre domain « work » et « personnal » peuvent être deux OS identiques sous debian, avec leurs propres logiciels.
Ce système de cloisonnement rend les mises à jour assez particulières comparées aux autres distributions GNU/Linux.
Chaque « domain » est lié à dom0, qui est votre OS installé sur l’ordinateur.
Ainsi vous pouvez mettre à jour :
La commande est simple: sudo qubes-dom0-update
Se rendre dans le VM Manager, sélectionner le template puis l’icône d’update.
Cette partie dépend de votre OS, si vous avez un domain sous Debian vous n’avais qu’à saisir votre commande aptitude.
Il est possible de faire un template Windows 7 pour avoir une VM Windows, en revanche rien de concluant avec Windows 10 pour l’instant.
L’installation n’est pas compliquée, mais je vous renvoie vers le site de QubesOS : https://www.qubes-os.org/doc/windows-vm/
Après plusieurs semaines d’utilisation dans le monde professionnel, la seule vraie difficulté rencontrée est de changer sa façon de travailler.
Par exemple je télécharge les fichiers depuis dom-work, pas depuis ma VM Windows.
L’impression est très compliquée depuis la VM Windows.
Pour le personnel, c’est assez plaisant de pouvoir se connecter au VPN de son travail sans risque d’infection avec mon propre poste.
Alors oui, si vous avez une distribution GNU/Linux le risque est probablement déjà faible. Certes. Mais au moins en cas de compromission, mon /home reste inaccessible.
Une bonne distribution, pas sans bugs ou de risques, avec des contraintes, mais sympathique a utilisé pour peu que vous ayez une machine de geurre.
Des informations diverses sur cette distribution ou son univers.
FAQ de Qubes OS: https://www.qubes-os.org/faq/
Numérama: https://www.numerama.com/tech/242144-test-de-qubes-los-recommande-par-snowden-la-securite-ultime-vaut-bien-quelques-migraines.html
NextInpact: https://www.nextinpact.com/news/107048-clip-os-anssi-ouvre-son-systeme-securise-a-tous-contributeurs.htm