OpenBSD, le système le plus sécurisé au monde ?

mercredi 17 août 2011
par:
popularité : 29%

OpenBSD est un système d’exploitation dérivé de la famille des BSD et on estime que c’est le système le plus sécurisé au monde, car on compte seulement quelques failles au bout de plusieurs années d’existence. Mais est-ce qu’il est nécessaire d’avoir un système avec des normes de sécurité aussi draconniennes ?

Histoire du système OpenBSD

OpenBSD a été conçu par Theo de Raadt et ce système s’inspire de NetBSD dans la plupart des fonctionnalités. A l’origine, Theo de Raadt était un contributeur de NetBSD, mais il a été expulsé de l’équipe, car il avait l’habitude d’insulter les utilisateurs. L’un de ses commentaires sur Linux est digne de sa personnalité :

C’est terrible [...] Tout le monde l’utilise, et ils ne réalisent pas à quel point il est mauvais. Et les utilisateurs de Linux s’en contenteront et l’étofferont plutôt que de prendre du recul et de dire "C’est n’importe quoi et nous devrions y remédier

Quand il a été expulsé de NetBSD, il a voulu créer son propre système, mais qui se concentrerait sur la sécurité. A cette époque, on assista à un schisme entre les développeurs de NetBSD ou d’OpenBSD et de nombreuses personnes suivirent Theo de Raadt. Par chance, une société spécialisée dans la sécurité, Secure Networks, proposa à Theo de Raadt de faire un audit de sécurité et des moyens pour détecter les failles de sécurité dans un système. C’est cette coopération qui permit de publier OpenBSD 2.3.

OpenBSD était fier de son slogan qui était vrai jusqu’en 2002 :

Cinq ans sans vulnérabilité à distance dans l’installation par défaut !

Mais plusieurs experts de la sécurité ont démontrés qu’une intrustion était possible, notamment à cause d’un problème dans l’OpenSSH. Mais les développeurs rétorquèrent que c’était à cause d’OpenSSH et cette faille avait également compromis d’autres systèmes. Mais le système changera son slogan au fil des années à mesure qu’on découvrait d’autres failles ici et là, et finalement en 2009, le slogan officiel d’OpenBSD est :

Seulement deux vulnérabilités à distance dans l’installation par défaut, depuis diablement longtemps !

Pourquoi OpenBSD bénéficie d’une sécurité exemplaire ?

OpenBSD est vraiment différent des autres systèmes BSD, car plusieurs de ses fonctionnalités se concentrent sur la sécurisation du système, notamment du concept de la séparation des privilèges. Pour résumer, OpenBSD est réputé pour les fonctionnalités suivantes :

  • Une modification améliorée des API (Application Programming Interface) et de ce qu’on appelle des toochains (Outils de développement). Ces derniers sont des outils pour créer des programmes précis. Ainsi, Unix et Linux utilisent fréquemment un éditeur de texte, un compilateur et un débugueur pour créer un programme et donc, on dit que c’est un toolchain. OpenBSD gère efficacement les fonctions strlcat et strlcopy et il offre contrôle mieux les statics bounds.
  • Une meilleure protection de la mémoire pour éviter les intrusions et les accès non autorisés avec des services tels que StackGhost ou ProPolide.
  • Des options poussées en cryptographie et des programmes perfectionnés pour générer des nombres aléatoires. Ainsi, le chiffrement des fichiers sensibles et des mots de passe bénéficie d’une solidité à tout épreuve.

Mais la principale force d’OpenBSD est la séparation des priviléges. Ce concept permet de séparer un programme en plusieurs parties et de faire en sorte que seule une d’entre elles obtienne les privilèges nécessaires tandis que le reste du code est inactif. La révocation des privilèges permet de spécifier des permissions à un programme sur une période donnée et ensuite, il doit les abandonner. Enfin, la mise en cage des privilèges implique qu’un programme ne peut pas accéder à l’ensemble du système de fichier protégant ainsi les zones sensibles.

A la recherche constante de failles de sécurité

On voit que les fonctionnalités verrouillent totalement le système, mais OpenBSD également réputé pour son audit du code. Il possède une équipe qui recherche constamment des failles de sécurité et une détection implique de passer par des dizaines d’étape de contrôle. Ainsi, il arrive qu’on contrôle tout le code source si on détecte une faille afin d’identifier des problèmes similaires.

De plus, le code est modifié sans cesse pour offrir la meilleure lisibilité possible. Un des développeurs d’OpenBSD a déclaré que cette partie du développement ne sera jamais terminée et que c’est même l’un des secrets de la sécurité d’OpenBSD.

Une documentation et une communauté à l’écoute de l’utilisateur

Quand on parle du système Unix, la plupart des utilisateurs pensent à des systèmes archaiques où on n’obtient aucune aide et où on doit tout faire à la main. La documentation d’OpenBSD est la plus complète qui existe dans le monde du libre et surtout, elle est plus organisée que d’autres plateformes. Ainsi, on retrouve rapidement l’information dont on a besoin. Il est vrai que la communauté d’OpenBSD ne compte pas beaucoup de membres, mais c’est loin d’être un inconvénient. Avez-vous remarqué le nombre de réponses différentes quand vous posez une question sur les forums d’Ubuntu ? Et chaque contributeur vous dira que c’est lui qui possède la meilleure solution. La communauté d’OpenBSD vous répondra de la façon la plus pertinente et plus précise, justement, car elle ne compte qu’une centaine de membres actifs.

L’influence de l’OpenBSD sur la sécurité informatique

OpenBSD est un système méconnu du grand public, mais plusieurs de ses composants sont adaptés sur d’autres systèmes. En fait, ce système est l’un des pionniers dans de nombreux domaines, notamment celui du cryptage et de la gestion de privilèges. Evidemment, OpenBSD ne conviendra pas à un utilisateur de Linux, car il est plus compliqué à utiliser. Il faut maitriser les systèmes Unix avant de se frotter à OpenBSD, mais on estime qu’une bonne expérience de FreeBSD est suffisante, mais je ne suis pas d’accord. Si FreeBSD est un cadenas à combinaison alors OpenBSD est une serrure électronique blindée avec une reconnaissance biométrique !!

OpenBSD convient surtout pour les grands réseaux et les infrastructures ultra sensibles, mais un passioné d’informatique ne peut pas négliger le fait qu’il peut utiliser gratuitement le système d’exploitation le plus sécurisé au monde !



Commentaires