L’alliance est pour le moins improbable. La très secrète et très inquiétante National Security Agency (NSA), sorte d’agence d’Etat américaine dévouée à la protection des communications amies et à l’espionnage de tout le reste, se penche sur Linux, le système d’exploitation libre. Volonté avouée de la NSA : apporter plus de sécurité à Linux.Le résultat, gratuitement téléchargeable en ligne et sous licence GPL, se nomme (SEL) Security-Enhanced Linux. SEL doit garantir à Linux un degré de sécurité jusqu’ici réservé à quelques rares systèmes d’exploitation expérimentaux. Cela signifie une réduction des risques d’arrêt système par attaque virale, une diminution des effets des codes malicieux, et un risque d’intrusion (vol de données, détournement de ressources, modifications d’exécutables…) restreint. L’ensemble doit être fait avec suffisamment de souplesse pour que les ressources système ne soient pas entièrement dévolues à la gestion de la sécurité. Pour effectuer ces développements, la NSA se base sur les travaux menés en interne depuis de nombreuses années autour des systèmes d’exploitation sécurisés comme DTOS ou Flask.
Le code source de SEL est disponible
Le principe de base, repris de Flask, consiste à installer un serveur de sécurité qui s’interface entre le micronoyau du système d’exploitation et toutes les requêtes extérieures (système, applications, utilisateurs). Ce serveur comporte un certain nombre de tables, sans cesse actualisées (on parle de reconfiguration dynamique). Ces tables précisent quels sont les droits des requêtes, ou des types de requêtes, sur les processus du noyau, en fonction de leur provenance. Par exemple, lorsque votre traitement de texte exécute un script, le serveur de sécurité consulte ses tables, s’il voit que la commande lancée par le script n’est pas autorisée (formater le disque dur, expédier les données vers un serveur FTP externe…), il intercepte la requête, et évite du même coup son exécution. Le même filtre est appliqué aux requêtes utilisateurs ou système.En fait, le serveur de sécurité permet de protéger un certain nombre de processus du noyau, ce qui signifie qu’ils ne répondent à des requêtes que dans des circonstances extrêmement précises. Les premiers exemples fonctionnels de SEL ont été portés sur une distribution Red Hat 6.1 pour Intel, avec un noyau 2.2.12.
Pour les inquiets : le code source de SEL est disponible, ce qui signifie qu’il pourra être analysé par les développeurs, afin de vérifier que l’honorable organisme n’a pas oublié une ou deux failles qui permettraient daccéder au système. On ne sait jamais.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
