mardi 12 octobre 2010

L'Inde et son OS : un passage obligé ?

Aujourd'hui, nous apprenons que l'Inde a décidé de publier son propre système d'exploitation afin de garantir une meilleure sécurité, une plus grande indépendance vis-à-vis des grandes oligopoles du logiciel et une meilleure maitrise de sa souveraineté.

L'Inde n'est pas la première et ce blog a communiqué sur les initiatives russe, chinoise et nord-coréenne.

On peut donc se demander si un tel effort est un passage obligé pour garantir sa souveraineté...Petite analyse pour et contre !

POUR :

=> Il est vrai qu'un tel développement assure une réelle maitrise de l'ensemble du logiciel et des composants. Il est donc un facteur de souveraineté et de sécurité dans le sens où on évite les pièges des matériels et logiciels sur étagères (contrefaçons, pièges, backdoors...)

=> Au-delà d'une maitrise conjoncturelle, ce type d'approche envoie également une signal fort en termes militaire ou de défense. Il permet également d'enclencher un mouvement global de maitrise de l'information qui commence par les OS pour aller jusqu'aux applications spécifiques, aux matériels..bref à l'ensemble des composantes de "l'informatique".

=> Economie : même si on ne mesure pas entièrement les capacités à faire des économies, il y a sans doute des gains réels en matière économique à initier une telle démarche. Cependant, cela reste à prouver définitivement.

=> Interopérabilité : cet aspect apparait ici car aujourd'hui, la plupart des standards permettent de conserver de bons niveaux de communication et d'échanges avec de nombreux partenaires : réseaux, mail, documentation...

CONTRE - on dira plutôt que ce sont des points où il faut porter son attention :

=> Qualité/Sécurité : avec 50 ingénieurs, selon les données transmises, il parait très délicat de développer un système d'exploitation plus performant, sécurisé et efficace que certains systèmes Linux ou Unix. Les communautés du libre étant à la fois passionnées, parfois intransigeantes, et très larges, il parait impossible pour ce groupe d'ingénieur d'avoir les même standards de qualité et de sécurité

=> Liberté/Ouverture vs. fermeture : les articles affirment que ce logiciel sera développé en secret et donc totalement fermé.

Or, aujourd'hui, il est illusoire de penser qu'un tel système, à partir de sa mise en production, voire avant, restera totalement secret. L'Inde n'est pas renommée pour ses capacités à sécuriser l'information ! On peut donc se douter que rapidement, ce système sera mis à l'épreuve par les pirates pour en déceler les failles.

De plus, les logiciels libres ont cette capacité d'amélioration infinie car ils sont testés par tous les passionnés et sont donc dans une dynamique d'amélioration. Un logiciel fermé, par nature, ne bénéficiera pas de cette capacité de tests et de corrections.

On peut, bien sur, imaginer que les développeurs indiens utiliseront, comme les autres pays, les résultats et production du logiciel libre. Mais même si certains composants sont sécurités, c'est l'architecture du système, la sécurité de certains composants spécifiques, les effets collatéraux ou encore la sécurité de l'ensemble qui bénéficiera pas du regard de la communauté.

On croirait presque, à me lire, que je suis contre une telle démarche. Il n'en est rien car je pense vraiment qu'une industrie de qualité couvrant l'ensemble des "couches" informatiques est un vrai plus aujourd'hui pour la maitrise stratégique.
Cependant, après réflexions, il apparait qu'il existe des obstacles non négligeables dans un tel développement et que certaines déclarations simplistes ne seront jamais suivies d'effet !

Source :

http://www.pcinpact.com/actu/news/59784-inde-developper-systeme-exploitation-ferme.htm


http://www.spyworld-actu.com/spip.php?article13957

4 commentaires:

  1. Et quid des initiatives francaises ?
    Ce n'est pas vraiment un OS, mais le soucis de protection est le même :
    http://www.ssi.gouv.fr/IMG/pdf/cp.pdf

    50 ingénieurs pour un Os from scratch, oui, c'est du quasi impossible. Par contre, pour sécuriser un linux ou un FreeBSD, c'est tout à fait envisageable. Et comme vous l'indiquez, c'est la solution la plus probable.

    Trouver une faille sur un OS ouvert et publié n'est pas une chose aisée, mais pas infaisable. Trouver une faille sur un OS sécurisé et plus confidentiel diminue encore les risques.
    La fermeture du système ne sera probablement qu'unidirectionnelle : ils ne publient pas le source de leur OS, mais profite des améliorations de la communauté pour les modifier et les injecter dans leur produit.
    C'est juste s'asseoir sur les licenses d'utilisation, mais tant que ça reste dans le secret...

    RépondreSupprimer
  2. Bonjour et merci du commentaire..

    Je me suis attardé sur ces pays car ils ont une ambition autre que la nôtre. Nous ne sommes pas au même niveau même si je suis convaincu de notre capacité d'excellence !

    Trouver une faille sur un OS ouvert et publié n'est pas une chose aisée, mais pas infaisable.

    => c'est même régulier ! Non ?

    Trouver une faille sur un OS sécurisé et plus confidentiel diminue encore les risques.

    => Je ne vois pas trop comment...Car si vous utilisez cet OS dans des infras connectées, il sera forcément testé "sans précaution" dans le but de s'y introduire...on découvrira les failles "trop tard"..

    Pour le dernier point, on a beau injecté le dernier cri en matière de sécurité dans l'OS, si on ne teste pas l'environnement habituel du système, on ne sait pas s'il n'existe pas des effets de bords néfastes à la sécurité !

    Qu'en pensez-vous ?

    RépondreSupprimer
  3. Désolé, je me suis mal exprimé.
    Faire des tests de vulnérabilité en boite blanche, c'est facile.
    Faire des tests de vuln en boite noire, c'est plus difficile.
    Faire des tests en boite noire sur un OS distant non connu et sécurisé, sans se faire repérer, c'est du gros challenge.

    La sécurité d'une infra connectée ne doit pas résider dans la seule sécurisation d'un OS mais dans la sécurisation de l'infra elle même. Les failles existent de toute façon, OS propriétaire ou non. Je pense que faire son OS maison à partir d'un OS libre permet de bénéficier de la communauté de testeur et rend plus complexe l'attaque directe.

    Pensez-vous qu'injecter une mise à jour faite par une personne inconnue dans l'intégralité de ses OS ne présente pas de risque sur la sécurité? La maîtrise de son OS permet justement, à mon sens, d'analyser et de tester les effets de bord possibles.

    Le tout est de pouvoir mesurer le risque d'attaque et de pénétration de son réseau en partant d'un OS commercial, d'un OS libre ou d'un OS maison. Ce n'est pas simple mais si tant de pays s'y mettent, c'est que l'OS maison doit, selon eux, présenter moins de surface d'attaque possible. De plus, je pense que c'est très formateur en terme de lutte informatique offensive et défensive et permet de rester dans la course de la SSI sans être dépendant de communautés de chercheurs.

    RépondreSupprimer
  4. Très très intéressant ! Encore merci pour votre partage !

    Je ne peux que partager votre conclusion finale :) !

    N'hésitez pas à me contacter directement si vous souhaitiez prolonger l'échange !

    RépondreSupprimer