Sécurisation a posteriori ?

On y discute de tout, ou presque...
Répondre
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Bonjour,

je sens bien que ma question est un peu bête,
c'est pourquoi je la pose ici plutôt que dans SD.


Je pars de l'hypothèse d'une installation d'un PC de bureau avec son environnement graphique,
et la palanquée de logiciels que l'on peut y avoir installé exclusivement depuis les dépôts officiels (main ; contrib ; non-free).
sans la moindre configuration de sécurité supplémentaire post-installation.

La seule précaution de l'utilisateur est d'avoir maintenu son système à jour avec régularité.

L'utilisation passée inclue évidemment :
* navigation sur le net
* téléchargements de fichiers de sources diverses et incontrôlées
* clients de messageries diverses (mail ; IRC ; XMPP ...)
* etc

Dans ces conditions,

Est-il raisonnable de vouloir sécuriser un système qui est déjà en service depuis longtemps ?

Ou est-il absolument nécessaire de repartir d'une installation neuve en commençant par sa sécurisation avant d'en faire le moindre usage connecté ?

Question subsidiaire : Quid des fichiers que l'on souhaite importer sur ce nouveau système ?

Merci.
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4903
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

"Sécuriser" est un terme bien trop vague pour pouvoir trouver une réponse;
De plus, tout dépends de la sécurisation minimale qui a été faite dessus, des logiciels utilisés, des sites visités, des emails reçus et ouverts ..
C'est pour cela qu'on préconise habituellement de partir d'une install fraiche.
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

piratebab a écrit : 25 nov. 2020, 17:08 "Sécuriser" est un terme bien trop vague pour pouvoir trouver une réponse;
Oui, je conçois cela et il me semble aussi logique de partir sur une page blanche,
mais voilà les choses sont souvent mal, ou pas pensées du tout,
jusqu'au moment où le besoin semble se faire sentir.

C'est par exemple le cas d'un utilisateur "privé/domestique"
qui décide de débuter une activité requérant un minimum de sécurité,
p.ex une activité commerciale annexe.

Dans mon cas d'étude (fictif),
l'utilisateur ne souhaite :
  • ni investir dans un matériel uniquement dédié à cette activité,
  • ni réinstaller son matériel.
Il voudrait simplement utiliser son matériel en l'état,
étant disposé (si cela est possible et techniquement pas trop compliqué) à :
  1. Vérifier que le système n'est pas déjà compromis.
  2. Configurer pour parer les risques les plus courants.


Ça reste très vague mais pour le commun des utilisateurs le domaine de la sécurité => c'est LE TROU NOIR !

On ne sait pas ce que c'est
et on a une trouille bleue de tomber dedans :shok:

... Moi-même qui tente d'y comprendre quelque-chose ... je n'en mène pas large,
d'où une véritable impuissance à l'heure de conseiller un tiers.



Est-ce que la solution (intermédiaire) :

VBox dédiée, installée sur un disque externe crypté (LUKS) dédié

pourrait constituer une solution satisfaisante dans la situation décrite avant ?


Je pense aussi à l'utilisation de Tails installé sur une clé ou un disque externe,
au niveau sécurité c'est probablement très supérieur qu'une bidouille d'amateur,
mais ça me parait plus contraignant à l'usage. :017:

En écrivant, ces dernières lignes.... :115:
et en installant Tails sur une VM ?
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4903
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

J'allais te proposer une VM afin de cloisonner les activités.
Si tu veux vraiment une machine durcie, il faut effectivement oublier debian et t'orienter vers une distribution durcie et cloisonnée.
Il est à noter que la plupard des distributions durcies cherche surtout l'anonimat lors des acces internet
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

J'ai fait un 1er test avec OpenBSD dont j'ai lu qu'il est particulièrement soigné au niveau sécu.

Je suis parvenu à faire l'install sur VBox, mais la prise en main n'a pas l'air évidente ... je regrette déjà Debian :cray:

À part Tails qui effectivement serait plus versé sur l'anonymat que sur la sécurité (je n'en suis pas certain à 100%)

j'ai 2 candidats :
  • Qubes OS
  • Whonix
Pour Qubes OS je crains que cela nécessite pas mal de ressources matérielles (plusieurs couches de virtualisation ça risque d'être lourdingue ???)

Voilà si vous avez des retours pour éviter de perdre trop de temps sur de fausses pistes,
merci
:006:
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

À propos de l'idée d'une VBox exécutée dans l'environnement existant de l'utilisateur,

selon Wikipédia : Qubes OS cela ne serait pas une bonne idée :
Toutes les machines virtuelles ne sont pas identiques en matière de sécurité.

Les machines virtuelles utilisées dans les logiciels VirtualBox ou VMware sont appelées machines virtuelles de "type 2".

Ces programmes sont populaires pour leur facilité d'utilisation et peuvent être exécutés sur des systèmes d'exploitation populaires.

Étant de "type 2", elles sont aussi sûres que le système d'exploitation sur lequel elles s'exécutent,
si celui-ci est compromis, toutes les VM le sont aussi.

d'où la pertinence de Qubes OS.

Autre avantage de Qubes OS on peut y faire tourner Debian entre-autres...
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Peut-être une SUPER TROUVAILLE !

Qubes-Whonix => un mix préfabriqué qui pourrait bien faire exactement le job,
mis à part de devoir réinstaller la machine, ce qui n'était pas vraiment l'idée de départ.

Image

Mais bon, il faut savoir ce que l'on veut, et se rendre à l'évidence ...
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4903
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Je croyais que tu cherchais la simplicité d'utilisation :)
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

piratebab a écrit : 27 nov. 2020, 19:11 Je croyais que tu cherchais la simplicité d'utilisation :)
Très juste ! :good:

J'ai un peu dérapé :rolleyes:

... mais la solution semble tellement sûr que je n'ai pas pu y résister.

J'ai une machine et un HDD disponibles,
je vais tester ...

:drinks:
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
dezix
Membre hyper actif
Membre hyper actif
Messages : 3546
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Plus sérieusement (de ma part),

peut-on vraiment considérer que la citation de Wikipédia affirmant que la solution d'une VBox dans le système existant n'apportera rien à notre sécurité ?

Et donc accepter cette réponse comme résolvant la question initiale ?


Qubes et Whonix n'étant finalement que des pistes vers une autre approche (obligée) du problème.
**Simple Utilisateur** -- Debian stable - XFCE
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4903
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

La réponse de wikipedia est correcte. Si le systeme hote est corrompu, l'attaquant aura accés à toutes les VM. Il peux les arreter, les modifier ..
J'avais lu je ne sais plus ou qu'il y avait un systeme hote minimal spécialement conçu pour cet usage, ce qui minimise la surface d'attaque.
Répondre