Qubes OS – Guide d’entré

Il y a peu, je suis parti au Mexique pour le boulot. J’ai donc respecté une des règles de base lors d’un départ à l’étranger, l’utilisation d’un poste dédié, avec un OS proche de celui de l’ANSSI.

Il s’agit d’un OS qui se veut sécurisé par le principe de cloisonnement, faisant (en simplifiant grossièrement) que Firefox n’a pas accès aux clefs USB, que votre partie professionnelle ne voit rien de ce qui tourne sur la partie personnelle, etc.

Multi-utilisateurs

Du fait d’un accès « complet » à la base de l’ordinateur (dom0, voir plus loin) QubesOS n’est pas fait pour plus d’un utilisateur.

Installation

J’avais peur, car souvent, sécurité rime avec hostilité. Que nenni !

En revanche, impossible de le faire sur une VM (me concernant) et les captures de mon propre écran rende excessivement mal.

Mais voici une vidéo qui vous montre l’installation, certes de la version 3.2, mais la méthode reste la même pour la version 4.

Fonctionnement des Qubes

Qubes OS vous fourni par défaut, plusieurs environnements (qubes) comme :

Liste des Qubes par défaut.

Le qube sys-net va être la « couche » qui va gérer les accès réseaux entre les différents Qubes, le « sys-firewall » va faire la même chose pour la partie firewall.

Liste des domains et templates

L’équipe fournit aussi plusieurs « domain » et « template ».

liste des templates et domains par défaut.

Chaque domain s’appuie sur un template.

Ainsi votre domain « work » et « personnal » peuvent être deux OS identiques sous debian, avec leurs propres logiciels.

Mises à jour

Ce système de cloisonnement rend les mises à jour assez particulières comparées aux autres distributions GNU/Linux.

Chaque « domain » est lié à dom0, qui est votre OS installé sur l’ordinateur.

Ainsi vous pouvez mettre à jour :

  • votre distribution (dom0)
  • la distribution de votre template (partagé avec les différents “domains”
  • votre “domain” (qui sera temporaire en cas d’update)

Dom0

La commande est simple: sudo qubes-dom0-update

Le template

Se rendre dans le VM Manager, sélectionner le template puis l’icône d’update.

Mettre à jour votre template.

Domain

Cette partie dépend de votre OS, si vous avez un domain sous Debian vous n’avais qu’à saisir votre commande aptitude.

Template Windows

Il est possible de faire un template Windows 7 pour avoir une VM Windows, en revanche rien de concluant avec Windows 10 pour l’instant.

L’installation n’est pas compliquée, mais je vous renvoie vers le site de QubesOS : https://www.qubes-os.org/doc/windows-vm/

Retour d’utilisation

Après plusieurs semaines d’utilisation dans le monde professionnel, la seule vraie difficulté rencontrée est de changer sa façon de travailler.

Par exemple je télécharge les fichiers depuis dom-work, pas depuis ma VM Windows.
L’impression est très compliquée depuis la VM Windows.

Pour le personnel, c’est assez plaisant de pouvoir se connecter au VPN de son travail sans risque d’infection avec mon propre poste.
Alors oui, si vous avez une distribution GNU/Linux le risque est probablement déjà faible. Certes. Mais au moins en cas de compromission, mon /home reste inaccessible.

Une bonne distribution, pas sans bugs ou de risques, avec des contraintes, mais sympathique a utilisé pour peu que vous ayez une machine de geurre.

Autres

Des informations diverses sur cette distribution ou son univers.

Snowden recommande la distribution

FAQ de Qubes OS: https://www.qubes-os.org/faq/

Numérama: https://www.numerama.com/tech/242144-test-de-qubes-los-recommande-par-snowden-la-securite-ultime-vaut-bien-quelques-migraines.html

NextInpact: https://www.nextinpact.com/news/107048-clip-os-anssi-ouvre-son-systeme-securise-a-tous-contributeurs.htm