Qubes OS et l'illusion de la sécurité par la complexité

L'idée de Qubes OS est tout simplement géniale : se servir de la virtualisation pour compartimenter les fonctions. En d'autres termes, au lieu d'exécuter un logiciel, vous démarrez à l'intérieur de votre système d'exploitation un « ordinateur virtuel » avec son propre système d'exploitation, à l'intérieur duquel vous ouvrez le programme qui vous intéresse.

Cela paraît tortueux, mais vous met à l'abri des attaques et des virus informatiques, car si le programme utilisé est infecté, l'ordinateur physique sous-jacent ne peut être atteint : seul l'ordinateur virtuel est touché, mais ce dernier peut être effacé et recréé en quelque clic.

Avec Qubes OS, l'on peut même démarrer des instances éphémères — des ordinateurs virtuels créés pour une seule séance de travail, par exemple pour naviguer sur des sites particulièrement intrusifs — destinées à disparaître dès que vous avez terminé.

Le hic : la complexité comme faille intrinsèque

Le problème tient cependant à la complexité de cette architecture. Démarrer de multiples instances virtuelles — l'une pour écrire un courriel, l'autre pour remplir un tableur, la troisième pour naviguer et ainsi de suite — implique une juxtaposition de couches logicielles autrement plus complexe que celle requise par le simple usage de quelques programmes informatiques.

Or, l'erreur est une question statistique : les logiciels commerciaux les plus mûrs comptent encore 0,1 % de bugs. Multiplié par des centaines de millions de lignes de code, cela implique une marge d'erreur considérable. Plus il y a de code, plus il y a de problèmes.

Qubes OS contient bien entendu un système de sauvegarde et de restauration, mais la complexité de son architecture expose tout autant à l'erreur ces garde-fous : s'ils ne fonctionnent pas, vous perdez à la fois le système d'exploitation et vos données personnelles.

L'hypothèse : la simplicité comme alternative

L'hypothèse que nous formulons ici est donc la suivante : si l'idée de la sécurité par compartimentation est excellente, le chemin emprunté par Qubes pour la réaliser est défaillant. La complexité n'est pas seulement un incubateur d'entropie, mais aussi un dévorateur de ressources, ce qui nous entraîne dans la surenchère de puissance matérielle tant aimée par l'informatique mainstream.

Pourquoi ne pas choisir, alors, le chemin de la simplicité pour atteindre le même but ?

Prenez le seul système d'exploitation audité au monde, OpenBSD — un petit joyau, aussi léger qu'efficace. Développez un cadriciel qui, à l'aide de quelques scripts et bonnes pratiques, décline le concept de compartimentation à partir de la séparation native des usagers propre aux systèmes BSD, et vous obtiendrez un résultat tout à fait comparable à Qubes OS en termes de sécurité, mais infiniment plus léger et moins sujet à l'erreur.

Vous aurez, à la place des « ordinateurs virtuels » (dits AppVM) de Qubes OS, des usagers-fonction — par exemple userweb pour naviguer, userdoc pour travailler sur des fichiers, usermail pour les courriels — et un directeur d'orchestre : l'usager principal, qui se sert des autres pour accomplir ses tâches. Ajoutez un dossier partagé et des protocoles de transmission sécurisée entre les différents usagers, et vous obtiendrez un nouveau concept de sécurité par compartimentation, relevant de ce que nous pourrions appeler une approche informatique ultralégère.

Ce projet a un nom, et est depuis peu disponible sur GitHub : dropQbsd. Ses points forts : la simplicité, la légèreté et la transparence, sur fond de procédures éprouvées de longue date. Si Qubes OS s'impose telle une ligne Maginot, dropQbsd nous rappelle David face à Goliath.