Introduction à Linux
Linux est un système d'exploitation de bureau alternatif, open-source et axé sur la protection de la vie privée. Face à l'omniprésence de la télémétrie et d'autres technologies portant atteinte à la vie privée dans les systèmes d'exploitation courants, Linux est resté le choix le plus évident pour les personnes désireuses de contrôler totalement leur ordinateur de zéro.
Notre site web utilise généralement le terme "Linux" pour décrire les distributions Linux de bureau. Les autres systèmes d'exploitation qui utilisent également le noyau Linux, tels que ChromeOS, Android et Qubes OS, ne sont pas abordés sur cette page.
Remarques concernant la vie privée¶
Linux pose quelques problèmes importants en matière de protection de la vie privée, qu'il convient de connaître. Malgré ces inconvénients, les distributions Linux de bureau restent excellentes pour la plupart des personnes qui souhaitent :
- Éviter la télémétrie qui accompagne souvent les systèmes d'exploitation propriétaires
- Maintain software freedom
- Use privacy focused systems such as Whonix or Tails
Sécurité de l'open source¶
Une idée fausse très répandue est que Linux et d'autres logiciels open-source sont intrinsèquement sûrs simplement parce que le code source est disponible. There is an expectation that community verification occurs regularly, but this isn’t always the case.
En réalité, la sécurité d'une distribution dépend d'un certain nombre de facteurs, tels que l'activité du projet, l'expérience des développeurs, le niveau de rigueur appliqué aux révisions de code et l'attention portée à des parties spécifiques de la base de code qui peuvent rester non touchées pendant des années.
Fonctionnalités de sécurité manquantes¶
À l'heure actuelle, le système d'exploitation Linux de bureau n'est pas à la hauteur des alternatives telles que macOS ou Android en ce qui concerne certaines fonctions de sécurité. Nous espérons voir des améliorations dans ces domaines à l'avenir.
-
Le démarrage vérifié sur Linux n'est pas aussi robuste que les alternatives telles que le démarrage sécurisé d'Apple ou le démarrage vérrifié d'Android. Le démarrage vérifié prévient les altérations persistantes par les logiciels malveillants et les attaques evil maid, mais il est encore largement non présent, même sur les distributions les plus avancées.
-
Un sandboxing solide pour les applications sous Linux fait cruellement défaut, même avec des applications conteneurisées comme Flatpaks ou des solutions de sandboxing comme Firejail. Flatpak is the most promising sandboxing utility for Linux thus far, but is still deficient in many areas and allows for unsafe defaults which allow most apps to trivially bypass their sandbox.
En outre, Linux est en retard dans la mise en œuvre de mesures d'atténuation des exploits qui sont désormais standard sur d'autres systèmes d'exploitation, tels que Arbitrary Code Guard sur Windows ou Hardened Runtime sur macOS. De plus, la plupart des programmes Linux et Linux lui-même sont codés dans des langages peu sûrs pour la mémoire. Memory corruption bugs are responsible for the majority of vulnerabilities fixed and assigned a CVE. Bien que cela soit également vrai pour Windows et macOS, ces derniers progressent rapidement dans l'adoption de langages à mémoire sécurisée, tels que Rust et Swift, respectivement, alors qu'il n'y a pas d'effort similaire pour réécrire Linux dans un langage à mémoire sécurisée tel que Rust.
Choisir sa distribution¶
Toutes les distributions Linux ne sont pas créées égales. Notre page de recommandation Linux n'est pas censée faire autorité quant au choix de la distribution à utiliser, mais nos recommandations sont alignées sur les lignes directrices suivantes. Voici quelques éléments à prendre en compte lors du choix d'une distribution :
Cycle de mises à jour¶
Nous vous recommandons vivement de choisir des distributions qui restent proches des versions stables des logiciels en amont, souvent appelées distributions à publications continues. En effet, les distributions à cycle de publication gelé ne mettent souvent pas à jour les versions des paquets et prennent du retard sur les mises à jour de sécurité.
For frozen distributions such as Debian, package maintainers are expected to backport patches to fix vulnerabilities rather than bump the software to the “next version” released by the upstream developer. Certains correctifs de sécurité ne reçoivent pas du tout d'ID CVE (en particulier les logiciels moins populaires) et ne sont donc pas intégrés dans la distribution avec ce modèle de correctif. Par conséquent, les corrections de sécurité mineures sont parfois reportées à la prochaine version majeure.
Nous ne pensons pas que retenir les paquets et appliquer des correctifs provisoires soit une bonne idée, car cela s'écarte de la manière dont le développeur aurait pu vouloir que le logiciel fonctionne. Richard Brown has a presentation about this:
Mises à jour traditionnelles et atomiques¶
Traditionnellement, les distributions Linux se mettent à jour en mettant séquentiellement à jour les paquets souhaités. Les mises à jour traditionnelles, telles que celles utilisées dans les distributions basées sur Fedora, Arch Linux et Debian, peuvent être moins fiables si une erreur se produit lors de la mise à jour.
Les distributions à mises à jour atomiques appliquent les mises à jour dans leur intégralité ou pas du tout. En général, les systèmes de mise à jour transactionnelle sont également atomiques.
Un système de mise à jour transactionnelle crée un instantané qui est réalisé avant et après l'application d'une mise à jour. Si une mise à jour échoue à un moment donné (par exemple en raison d'une panne de courant), elle peut facilement être ramenée au "dernier état correct connu."
La méthode de mise à jour atomique est utilisée pour les distributions comme Silverblue, Tumbleweed, et NixOS et permet d'atteindre la fiabilité avec ce modèle. Adam Šamalík a fait une présentation sur le fonctionnement de rpm-ostree
avec Silverblue :
"Distributions "axées sur la sécurité¶
Il y a souvent une certaine confusion entre les distributions "axées sur la sécurité" et les distributions pour les "tests de pénétration". Une recherche rapide sur "la distribution Linux la plus sûre" donne souvent des résultats tels que Kali Linux, Black Arch ou Parrot OS. Ces distributions sont des distributions de tests de pénétration offensifs qui regroupent des outils pour tester d'autres systèmes. Elles n'incluent pas de "sécurité supplémentaire" ni de mesures d'atténuation défensives destinées à une utilisation régulière.
Distributions basées sur Arch Linux¶
Arch et les distributions basées sur Arch ne sont pas recommandées pour ceux qui débutent avec Linux (quelle que soit la distribution) car elles nécessitent une maintenance régulière du système. Arch n'a pas de mécanisme de mise à jour de la distribution pour les choix logiciels sous-jacents. Par conséquent, vous devez rester au courant des tendances actuelles et adopter les technologies au fur et à mesure qu'elles remplacent les anciennes pratiques.
Pour un système sécurisé, vous êtes également censé avoir une connaissance suffisante de Linux pour configurer correctement la sécurité de votre système, par exemple en adoptant un système de contrôle d'accès obligatoire, en configurant des listes noires de modules du noyau, en renforçant les paramètres de démarrage, en manipulant les paramètres sysctl, et en sachant de quels composants ils ont besoin, comme Polkit.
Toute personne utilisant le Arch User Repository (AUR) doit être à l'aise avec l'audit des PKGBUILDs qu'elle télécharge depuis ce service. AUR packages are community-produced content and are not vetted in any way, and therefore are vulnerable to software supply chain attacks, which has in fact happened in the past.
Le AUR doit toujours être utilisé avec parcimonie, et l'on trouve souvent de nombreux mauvais conseils sur diverses pages qui incitent les gens à utiliser aveuglément AUR helpers sans avertissement suffisant. Des avertissements similaires s'appliquent à l'utilisation d'Archives de Paquets Personnels (PPAs) de tiers sur les distributions basées sur Debian ou de Projets Communautaires (COPR) sur Fedora.
Si vous avez de l'expérience avec Linux et que vous souhaitez utiliser une distribution basée sur Arch, nous recommandons généralement la version principale d'Arch Linux plutôt que l'un de ses dérivés.
En outre, nous ne recommandons particulièrement pas ces deux dérivés d'Arch :
- Manjaro: Cette distribution bloque les mises à jour des paquets pendant 2 semaines pour s'assurer que leurs propres changements ne cassent pas, et non pas pour s'assurer que l'amont est stable. Lorsque des paquets AUR sont utilisés, ils sont souvent construits avec les dernières bibliothèques des dépôts d'Arch.
- Garuda: They use Chaotic-AUR which automatically and blindly compiles packages from the AUR. Il n'existe aucun processus de vérification pour s'assurer que les paquets AUR ne souffrent pas d'attaques de la chaîne d'approvisionnement.
Le noyau Linux-libre et les distributions "libres"¶
We recommend against using the Linux-libre kernel, since it removes security mitigations and suppresses kernel warnings about vulnerable microcode.
Recommandations générales¶
Chiffrement de disque¶
La plupart des distributions Linux ont une option dans leur installateur pour activer LUKS FDE. Si cette option n'est pas définie au moment de l'installation, vous devrez sauvegarder vos données et réinstaller, car le chiffrement est appliqué après le partitionnement du disque, mais avant le formatage des systèmes de fichiers. Nous vous suggérons également d'effacer de façon sécurisée votre dispositif de stockage :
Swap¶
Envisagez d'utiliser ZRAM au lieu d'un fichier swap traditionnel ou d'une partition afin d'éviter d'écrire des données de mémoire potentiellement sensibles sur un stockage permanent (et d'améliorer les performances). Les distributions basées sur Fedora utilisent ZRAM par défaut.
Si vous avez besoin d'une fonctionnalité de suspension sur disque (hibernation), vous devrez toujours utiliser un fichier ou une partition swap. Veillez à ce que l'espace swap que vous avez sur un périphérique de stockage persistant soit au minimum chiffré afin d'atténuer certaines de ces menaces.
Wayland¶
We recommend using a desktop environment that supports the Wayland display protocol, as it was developed with security in mind. Son prédécesseur (X11) ne prend pas en charge l'isolation de l'interface graphique, ce qui permet à n'importe quelle fenêtre d'enregistrer, de consigner et d'injecter des données dans d'autres fenêtres, rendant toute tentative de sandboxing futile. Bien qu'il existe des options pour faire du X11 imbriqué comme Xpra ou Xephyr, elles ont souvent des conséquences négatives sur les performances, et ne sont ni pratiques à mettre en place ni préférables à Wayland.
Fortunately, wayland compositors such as those included with GNOME and KDE Plasma now have good support for Wayland along with some other compositors that use wlroots, (e.g. Sway). Some distributions like Fedora and Tumbleweed use it by default, and some others may do so in the future as X11 is in hard maintenance mode. Si vous utilisez l'un de ces environnements, il vous suffit de sélectionner la session "Wayland" dans le gestionnaire d'affichage du bureau (GDM, SDDM).
Nous recommandons de ne pas utiliser des environnements de bureau ou des gestionnaires de fenêtres qui ne prennent pas en charge Wayland, comme Cinnamon (par défaut sur Linux Mint), Pantheon (par défaut sur Elementary OS), MATE, Xfce et i3.
Micrologiciel propriétaire (mises à jour du microcode)¶
Certaines distributions Linux (telles que les distributions basées sur Linux-libreou les distributions DIY) ne sont pas livrées avec les mises à jour propriétaires du microcode qui corrigent les failles de sécurité critiques. Some notable examples of these vulnerabilities include Spectre, Meltdown, SSB, Foreshadow, MDS, SWAPGS, and other hardware vulnerabilities.
Nous recommandons vivement d'installer les mises à jour du microcode, car elles contiennent d'importants correctifs de sécurité pour l'unité centrale qui ne peuvent pas être entièrement atténués par le logiciel seul. Fedora et openSUSE ont tous deux les mises à jour du microcode appliquées par défaut.
Mises à jour¶
La plupart des distributions Linux installent automatiquement les mises à jour ou vous rappellent de le faire. Il est important de maintenir votre système d'exploitation à jour afin que votre logiciel soit corrigé lorsqu'une vulnérabilité est découverte.
Certaines distributions (en particulier celles destinées aux utilisateurs avancés) sont plus dépouillées et attendent de vous que vous fassiez les choses vous-même (par exemple Arch ou Debian). Il faudra manuellement exécuter le "gestionnaire de paquets" (apt
, pacman
, dnf
, etc.) afin de recevoir les mises à jour de sécurité importantes.
En outre, certaines distributions ne téléchargent pas automatiquement les mises à jour du micrologiciel. Pour cela, vous devrez installer fwupd
.
Ajustements de confidentialité¶
Adresse MAC aléatoire¶
De nombreuses distributions Linux de bureau (Fedora, openSUSE, etc.) sont livrées avec NetworkManager pour configurer les paramètres Ethernet et Wi-Fi.
It is possible to randomize the MAC address when using NetworkManager. Cela permet de protéger un peu plus la vie privée sur les réseaux Wi-Fi, car il est plus difficile de suivre des appareils spécifiques sur le réseau auquel vous êtes connecté. Cela ne vous rend pas anonyme.
We recommend changing the setting to random instead of stable, as suggested in the article.
If you are using systemd-networkd, you will need to set MACAddressPolicy=random
which will enable RFC 7844 (Anonymity Profiles for DHCP Clients).
La randomisation des adresses MAC est principalement bénéfique pour les connexions Wi-Fi. Pour les connexions Ethernet, la randomisation de l'adresse MAC ne présente que peu d'avantages (voire aucun), car un administrateur de réseau peut trivialement identifier votre appareil par d'autres moyens (par exemple en inspectant le port auquel vous êtes connecté sur le commutateur du réseau). Rendre aléatoire les adresses MAC Wi-Fi dépend de la prise en charge par le micrologiciel du Wi-Fi.
Autres identifiants¶
Il existe d'autres identifiants de système auxquels vous devez faire attention. Vous devriez y réfléchir pour voir si cela s'applique à votre modèle de menace :
- Noms d'hôte : Le nom d'hôte de votre système est partagé avec les réseaux auxquels vous vous connectez. Vous devriez éviter d'inclure des termes d'identification comme votre nom ou votre système d'exploitation dans votre nom d'hôte, et vous en tenir plutôt à des termes génériques ou à des chaînes aléatoires.
- Noms d'utilisateur : De même, votre nom d'utilisateur est utilisé de diverses manières dans votre système. Envisagez d'utiliser des termes génériques comme "utilisateur" plutôt que votre nom réel.
- Identifiant machine :: Pendant l'installation, un identifiant machine unique est généré et stocké sur votre appareil. Envisagez de le régler sur un identifiant générique.
Comptage des systèmes¶
Le projet Fedora compte le nombre de systèmes uniques qui accèdent à ses miroirs en utilisant une variable countme
au lieu d'un identifiant unique. Fedora fait cela pour déterminer la charge et fournir de meilleurs serveurs pour les mises à jour si nécessaire.
Cette option est actuellement désactivée par défaut. Nous recommandons d'ajouter countme=false
à /etc/dnf/dnf.conf
juste au cas où il serait activé dans le futur. On systems that use rpm-ostree
such as Silverblue, the countme option is disabled by masking the rpm-ostree-countme timer.
openSUSE utilise également un identifiant unique pour compter les systèmes, qui peut être désactivé en supprimant le fichier /var/lib/zypp/AnonymousUniqueId
.