Au cœur de la cyberguerre : le système d’exploitation Kylin et la surprise chinoise
Le 30 Avril 2009 s'est tenue à Washington une audition de la commission sénatoriale chargée (entre autres) de surveiller les activités de propagande et d'intelligence de la Chine à l'encontre des États-Unis (USCC). Dans le domaine de la guerre informatique, le témoignage le plus remarqué fut celui de Kevin Coleman, un consultant en stratégie : la Chine aurait développé son propre système d'exploitation sécurisé, appelé Kylin, qui en cas de guerre la rendrait invulnérable à toutes les attaques informatiques des États-Unis. Les propos de Mr Coleman furent repris dans un article du Washington Times, ce qui déclencha une certaine agitation dans le milieu de la sécurité informatique, où personne n'avait entendu parler de Kylin.
Rapidement les premières informations sur Kylin firent surface. Son développement a débuté en 2001, à l'Université Nationale de la Technologie de Défense de Changsha (NUDT), dans le cadre du programme national de recherche "863 Hi-tech". Originalement dérivé de FreeBSD 5.3, Kylin 3.0 est aujourd'hui basé sur un noyau Linux 2.6 renforcé, et il possède en outre un système d'encryption propriétaire (KYLIN SecStor) et de nombreux systèmes de contrôle d'accès (MAC, RBAC, ACLs). D'après le site officiel, Kylin a atteint le niveau de sécurité TCSEC B2, et il est aujourd'hui utilisé par différentes industries sensibles telles que la China Construction Bank, Xiangcai Securities ou Shanghai Unicom.
Des évaluations poussées de Kylin 3.0 sont encore en cours, mais l’agitation qu’il a provoqué soulève une question intéressante : en quoi l’existence d'un système d'exploitation chinois sécurisé est-il si important ? Selon le Centre des Hautes Etudes de l'Armement (CHEAR), les systèmes d’exploitation se trouvent "au cœur des systèmes informatiques et donc de la guerre en réseaux et du combat futur". En particulier, un système d'exploitation robuste est une composante essentielle des capacités défensive d'un pays dans la guerre de l'information, car c’est lui qui gère les accès aux ressources matérielles et donc aux informations. Si la Russie vient à peine de valider son projet de système d'exploitation national, aux Etats-Unis la NSA travaille depuis 1992 sur une architecture sécurisée (Flask), ce qui lui a permit de créer dès 2000 différents systèmes d'exploitation robustes tels que SELinux.
LA FRANCE, L'EUROPE ET MICROSOFT
Qu'en est-il de la France et de l'Europe ? Au début des années 2000, alors que l'hégémonie de Microsoft sur les systèmes d'exploitation était très forte, de nombreux pays commencèrent à montrer un intérêt pour les solutions open-source. Pour endiguer cette montée des logiciels libres, Microsoft multiplia les pressions et initia en Janvier 2003 le Government Security Program, grâce auquel les gouvernements partenaires pouvaient avoir accès au code source des systèmes d'exploitation Windows. Cette proposition sembla calmer les inquiétudes de certains pays, et fin 2003 18 pays européens avaient déjà rejoint ce programme, dont le Royaume Uni et l'Espagne. Pour spectaculaire qu'elle paraisse, cette mesure n'améliorait en fait que faiblement la sécurité de ces pays : bien que pouvant accéder au code source ils restaient incapables de le compiler, et donc de corriger les bugs ou d’en améliorer les fonctionnalités. Microsoft poursuivit son effort avec la création en 2005 du Security Cooperation Program, grâce auquel Microsoft fournit un support privilégié sur les sujets de sécurité aux pays partenaires, ce qui lui permit de rallier 40 institutions gouvernementales supplémentaires.
Mais au contraire de ses voisins européens, la France avait décidé depuis le début des années 2000 de développer son propre système d'exploitation sécurisé, baptisé SINAPSE (Solution Informatique à Noyau Avancé pour une Sureté Elevée). En 2004 ce projet de plus de 7 millions d'euros sur 3 ans fut confié à un consortium de 5 sociétés européennes : Bertin Technologies, Surlog, Jaluna (aujourd'hui VirtualLogix), Mandrakesoft (aujourd'hui Mandriva) et Oppida. Afin d’atteindre en si peu de temps un haut niveau de sécurité (Common Criteria EAL-5), il fût décidé de modifier un noyau Linux, en l’occurrence fourni par Mandrake. Cet objectif ambitieux semble avoir posé quelques problèmes techniques, et au jour d'aujourd'hui SINAPSE n'est toujours pas achevé, mais le ministère de la défense a réaffirmé en 2008 son soutien à ce projet.
Ce retard est d’autant plus regrettable que l'actualité récente a souligné une fois de plus l'importance de tels projets pour la sécurité nationale. En Janvier 2009, le ver informatique Conficker qui cible des machines Windows a été introduit dans Intramar, le réseau interne de la Marine Nationale, puis s'est propagé à certains ordinateurs de la base aérienne de Villacoublay, ainsi qu’à ceux du 8e Régiment de transmission de l’armée de terre. En Angleterre, le même Conficker a contaminé certains systèmes NavyStar/N*, utilisés à bord de navires et sous-marins de guerre de la Royal Navy. En Allemagne, plusieurs départements des forces armées furent contaminés par Conficker en Février et ont du être déconnectés du réseau national pour éviter la propagation du virus.
LINUX, LE NOUVEAU STANDARD ?
Il convient de saluer la décision des autorités françaises d’avoir initié et maintenu le projet SINAPSE. Un point intéressant de ce projet est que SINAPSE sera disponible pour tous (tout comme SELinux l’est aujourd‘hui). Au premier abord il peut sembler étrange, voire dangereux, de laisser libre accès à un système d’exploitation sécurisé national, et on serait plutôt tenté de le protéger jalousement comme un secret d’état. La motivation première pour distribuer largement ce système d’exploitation a été rappelée par le président Obama dans son récent discours sur la cyber-sécurité : la grande majorité des systèmes d'informations critiques d'un pays (transports, énergie, finances,..) est en fait sous le contrôle de sociétés privées. Dès lors, en fournissant au secteur privé un système d’exploitation sécurisé, un état renforce sa sécurité nationale.
On peut aussi s’interroger sur le fait que SINAPSE sera nécessairement open-source, du fait des contraintes de la licence GPLv2 du noyau Linux. En effet, cela signifie que le code source sera disponible non seulement pour les développeurs du monde entier (susceptibles d’y corriger des erreurs), mais pour des personnes mal intentionnées qui voudraient s’introduire dans le système (ce qui leur rend la tâche beaucoup plus facile). En fait, une étude récente montre que les logiciels open-source sont plus sûrs que les autres sur le long terme, car la découverte des failles se produit statistiquement beaucoup plus tôt. Au contraire, le niveau réel de sécurité des logiciels closed-source varie peu avec le temps, et il s’accompagne souvent d’une fausse impression de confiance.
Mais si l’initiative française est bonne, certains choix sont discutables. Par exemple, contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n'est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection). Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo. D’autre part, comme l’illustrent les projets russe, américain, chinois et français, Linux semble être devenu le choix standard pour le développement de systèmes d'exploitation sécurisés, ce qui pourrait présenter un problème dans le futur. En effet, outre le fait que Linux possède aussi sa part de problèmes de sécurité, une nouvelle uniformité autour de Linux signifierait que la découverte d’une vulnérabilité dans ce noyau aurait un impact très important sur de multiples infrastructures nationales. Une alternative séduisante pourrait alors être OpenBSD, un autre système d’exploitation UNIX réputé pour sa robustesse et beaucoup moins connu que Linux.
En 2005, l’Institut des Etudes de Sécurité de l’Union Européenne dénonçait dans un excellent rapport les problèmes liés à l’utilisation de systèmes d'exploitation closed-source étrangers, et concluait que l’Europe devait choisir entre l’ « information dominance » (politique affichée des USA) et l’ « information dependance » (vis-à-vis des USA). La France est seule pour l’instant à avoir relevé le défi.
L.A.
Rapidement les premières informations sur Kylin firent surface. Son développement a débuté en 2001, à l'Université Nationale de la Technologie de Défense de Changsha (NUDT), dans le cadre du programme national de recherche "863 Hi-tech". Originalement dérivé de FreeBSD 5.3, Kylin 3.0 est aujourd'hui basé sur un noyau Linux 2.6 renforcé, et il possède en outre un système d'encryption propriétaire (KYLIN SecStor) et de nombreux systèmes de contrôle d'accès (MAC, RBAC, ACLs). D'après le site officiel, Kylin a atteint le niveau de sécurité TCSEC B2, et il est aujourd'hui utilisé par différentes industries sensibles telles que la China Construction Bank, Xiangcai Securities ou Shanghai Unicom.
Des évaluations poussées de Kylin 3.0 sont encore en cours, mais l’agitation qu’il a provoqué soulève une question intéressante : en quoi l’existence d'un système d'exploitation chinois sécurisé est-il si important ? Selon le Centre des Hautes Etudes de l'Armement (CHEAR), les systèmes d’exploitation se trouvent "au cœur des systèmes informatiques et donc de la guerre en réseaux et du combat futur". En particulier, un système d'exploitation robuste est une composante essentielle des capacités défensive d'un pays dans la guerre de l'information, car c’est lui qui gère les accès aux ressources matérielles et donc aux informations. Si la Russie vient à peine de valider son projet de système d'exploitation national, aux Etats-Unis la NSA travaille depuis 1992 sur une architecture sécurisée (Flask), ce qui lui a permit de créer dès 2000 différents systèmes d'exploitation robustes tels que SELinux.
LA FRANCE, L'EUROPE ET MICROSOFT
Qu'en est-il de la France et de l'Europe ? Au début des années 2000, alors que l'hégémonie de Microsoft sur les systèmes d'exploitation était très forte, de nombreux pays commencèrent à montrer un intérêt pour les solutions open-source. Pour endiguer cette montée des logiciels libres, Microsoft multiplia les pressions et initia en Janvier 2003 le Government Security Program, grâce auquel les gouvernements partenaires pouvaient avoir accès au code source des systèmes d'exploitation Windows. Cette proposition sembla calmer les inquiétudes de certains pays, et fin 2003 18 pays européens avaient déjà rejoint ce programme, dont le Royaume Uni et l'Espagne. Pour spectaculaire qu'elle paraisse, cette mesure n'améliorait en fait que faiblement la sécurité de ces pays : bien que pouvant accéder au code source ils restaient incapables de le compiler, et donc de corriger les bugs ou d’en améliorer les fonctionnalités. Microsoft poursuivit son effort avec la création en 2005 du Security Cooperation Program, grâce auquel Microsoft fournit un support privilégié sur les sujets de sécurité aux pays partenaires, ce qui lui permit de rallier 40 institutions gouvernementales supplémentaires.
Mais au contraire de ses voisins européens, la France avait décidé depuis le début des années 2000 de développer son propre système d'exploitation sécurisé, baptisé SINAPSE (Solution Informatique à Noyau Avancé pour une Sureté Elevée). En 2004 ce projet de plus de 7 millions d'euros sur 3 ans fut confié à un consortium de 5 sociétés européennes : Bertin Technologies, Surlog, Jaluna (aujourd'hui VirtualLogix), Mandrakesoft (aujourd'hui Mandriva) et Oppida. Afin d’atteindre en si peu de temps un haut niveau de sécurité (Common Criteria EAL-5), il fût décidé de modifier un noyau Linux, en l’occurrence fourni par Mandrake. Cet objectif ambitieux semble avoir posé quelques problèmes techniques, et au jour d'aujourd'hui SINAPSE n'est toujours pas achevé, mais le ministère de la défense a réaffirmé en 2008 son soutien à ce projet.
Ce retard est d’autant plus regrettable que l'actualité récente a souligné une fois de plus l'importance de tels projets pour la sécurité nationale. En Janvier 2009, le ver informatique Conficker qui cible des machines Windows a été introduit dans Intramar, le réseau interne de la Marine Nationale, puis s'est propagé à certains ordinateurs de la base aérienne de Villacoublay, ainsi qu’à ceux du 8e Régiment de transmission de l’armée de terre. En Angleterre, le même Conficker a contaminé certains systèmes NavyStar/N*, utilisés à bord de navires et sous-marins de guerre de la Royal Navy. En Allemagne, plusieurs départements des forces armées furent contaminés par Conficker en Février et ont du être déconnectés du réseau national pour éviter la propagation du virus.
LINUX, LE NOUVEAU STANDARD ?
Il convient de saluer la décision des autorités françaises d’avoir initié et maintenu le projet SINAPSE. Un point intéressant de ce projet est que SINAPSE sera disponible pour tous (tout comme SELinux l’est aujourd‘hui). Au premier abord il peut sembler étrange, voire dangereux, de laisser libre accès à un système d’exploitation sécurisé national, et on serait plutôt tenté de le protéger jalousement comme un secret d’état. La motivation première pour distribuer largement ce système d’exploitation a été rappelée par le président Obama dans son récent discours sur la cyber-sécurité : la grande majorité des systèmes d'informations critiques d'un pays (transports, énergie, finances,..) est en fait sous le contrôle de sociétés privées. Dès lors, en fournissant au secteur privé un système d’exploitation sécurisé, un état renforce sa sécurité nationale.
On peut aussi s’interroger sur le fait que SINAPSE sera nécessairement open-source, du fait des contraintes de la licence GPLv2 du noyau Linux. En effet, cela signifie que le code source sera disponible non seulement pour les développeurs du monde entier (susceptibles d’y corriger des erreurs), mais pour des personnes mal intentionnées qui voudraient s’introduire dans le système (ce qui leur rend la tâche beaucoup plus facile). En fait, une étude récente montre que les logiciels open-source sont plus sûrs que les autres sur le long terme, car la découverte des failles se produit statistiquement beaucoup plus tôt. Au contraire, le niveau réel de sécurité des logiciels closed-source varie peu avec le temps, et il s’accompagne souvent d’une fausse impression de confiance.
Mais si l’initiative française est bonne, certains choix sont discutables. Par exemple, contrairement à une idée largement répandue, une distribution Linux standard comme Mandriva (ou Ubuntu) n'est pas intrinsèquement plus sûre que, par exemple, Windows Vista, qui possède plus de composants de protection (ASLR, DEP, stack et heap protection). Le choix de Mandriva, la seule distribution française de Linux, comme base du système d’exploitation SINAPSE s’explique aisément, mais il existe aujourd’hui des distributions beaucoup plus robustes du point de vue de la sécurité, comme Hardened Gentoo. D’autre part, comme l’illustrent les projets russe, américain, chinois et français, Linux semble être devenu le choix standard pour le développement de systèmes d'exploitation sécurisés, ce qui pourrait présenter un problème dans le futur. En effet, outre le fait que Linux possède aussi sa part de problèmes de sécurité, une nouvelle uniformité autour de Linux signifierait que la découverte d’une vulnérabilité dans ce noyau aurait un impact très important sur de multiples infrastructures nationales. Une alternative séduisante pourrait alors être OpenBSD, un autre système d’exploitation UNIX réputé pour sa robustesse et beaucoup moins connu que Linux.
En 2005, l’Institut des Etudes de Sécurité de l’Union Européenne dénonçait dans un excellent rapport les problèmes liés à l’utilisation de systèmes d'exploitation closed-source étrangers, et concluait que l’Europe devait choisir entre l’ « information dominance » (politique affichée des USA) et l’ « information dependance » (vis-à-vis des USA). La France est seule pour l’instant à avoir relevé le défi.
L.A.