Processus de création d'une distribution et aspects de sécurité

Anonymous23 · Juillet 16, 2025, 2:24pm

Bonjour

Je précise que ce sujet fait suite à un sujet que j’ai posté sur Debian Facile mais que j’aimerais un point de vue plus pointu sur un des aspects https://debian-facile.org/viewtopic.php?id=36351

Donc dans les qualités que je recherche pour une distribution il y a l’aspect sécurité, vis à vis des intrusions ou des fuites de données.

A ce sujet je me méfie de distributions aux créateurs obscurs qui communiquent peu ou de manière floue.
Je me dis que ce n’est pas une meilleure idée de donner ses données à des inconnus qu’à Microsoft en utilisant windows.

Je me demandais également, quels sont les mécanismes qui sont mis en place pour une distribution sérieuse comme Debian pour prévenir la présence de backdoors, malwares vu la quantité de paquets.

J’ai cru comprendre que les paquets étaient repartis sur les développeurs qui avaient a charge de vérifier l’intégrité du code ?

Y a-t-il d’autres instances de vérification ? Par exemple lors des tests des RC? Est ce que l’on vérifie par exemple que le système ne se connecte pas a des sites non souhaités car il aurait été contaminé ?

Comment est organisé la surveillance des vulnérabilités ?

Je suis très curieux de savoir cela.

Bon été

Zargos · Juillet 16, 2025, 4:13pm

C’(est un choix que tu fais. Rien n’est forcé coté linux. Tu chois ta distribution avec ce que tu y trouves.

Il y a un suivi sécurité au niveau des CVE. C’est de la responsabilité de chaque mainteneur.
Debian communique sur les mises à jour de sécurité en lien avec les failles qui sont découvertes.

Il y a confusion. Les tests sont fait avec les système tels qu’ils sont développés (et signés).
IL ne peut pas normalement y avoir de contamination. D’autant quel les tests ne sont pas fait en ligne.

Par ailleurs les RC ne sont pas considérées comme des versions stables.

Après pour un peu de lecture:
https://www.debian.org/security/

Anonymous23 · Juillet 16, 2025, 6:03pm

Merci
C’est la première fois qu’on me répond clairement de manière factuelle sur ce sujet.

Bien sûr mes choix n’engagent que moi

Je fais partie d’un petit groupe professionnel ou nous n’avons pas d’ingénieur IT. Le collègue qui s’y connait le mieux en informatique gère nos postes Windows et je prospecte pour introduire Linux.

Donc pour bien faire les choses je me pose en premier la question d’assurer une sécurité « minimale » qui va également avec le choix de la distribution.

Je commence à lire des documents comme https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-un-systeme-gnulinux
Certains points sont au dessus de mon niveau mais d’autres sont a ma portée

Zargos · Juillet 23, 2025, 12:19pm

Ben, hors fonctionnalités, le choix de linux à la place de windows est en soit une amélioration de la sécurité.

Oui la recommendation de l’ANSSI. Tout n’y est pas simple, même pour des professionnels.

Anonymous23 · Juillet 23, 2025, 11:25am

J’ai trouvé pas mal de renseignements dans https://www.debian.org/doc/manuals/securing-debian-manual/securing-debian-manual.en.pdf même si c’est un peu daté.

Zargos · Juillet 23, 2025, 12:19pm

Oui c’est vrai qu’il faudrait une mise à jour

vbreton · Juillet 23, 2025, 2:11pm

La sécurité d’un système n’est pas que logiciel. L’architecture matérielle et son paramétrage est aussi à prendre en considération. En ce qui concerne l’ANSSI, ce ne sont que des recommandations: leur difficulté réside dans le fait qu’elles ne peuvent pas être toutes appliquées en même temps impliquant des choix, des compromis.

Zargos · Juillet 23, 2025, 8:05pm

les recommandations minimales et intermédiaires sont à faire.

Les deux autres niveaux peuvent effectivement demander des compétences plus importances et ne sont pas toujours faciles à maintenir dans le temps.

Anonymous23 · Juillet 31, 2025, 6:51pm

Bonsoir

J’ai décidé de potasser celui la cette semaine avant de revenir sur les autres Le cahier de l'administrateur Debian

@vbreton quoi penses tu en terme de sécurité matérielle.? Cryptage des informations par exemple?

Bonne soirée

vbreton · Juillet 31, 2025, 8:05pm

@Anonymous23, l’accès physique, la protection contre les perturbations électromagnétiques et électrostatiques, l’architecture matérielle (notamment la séparation de la zone données de la zone code), la redondance des serveurs et leur réplication automatique en cas d’anomalie. Le microcode et la configuration des cartes. Le choix de la carte réseau et de façon plus large le choix des composants ce qui est particulièrement problématique en France depuis la disparition du constructeur français Bull.

En ce qui concerne le cryptage des informations, c’est généralement effectué par logiciel ou microcode, d’où la nécessité de bien paramétrer son BIOS pour l’UEFI par exemple.

Zargos · Juillet 31, 2025, 8:05pm

Chiffrement des disques, activation du secure boot (plus facile à faire avant l’installation), remplacement si jamais des clefs et certificats par défaut du secure boot (i.e.: se débarrasser de ceux de Microsoft et de Debian, car il existe des attaques permettant de déchiffrer un disque).
Utilisation de libpam_mount pour ne monter une partition chiffrées qu’à l’ouverture de session.

Anonymous23 · Août 3, 2025, 6:21pm

Merci

Je viens de faire une première lecture du cahier de l’administrateur Debian et de revisiter le guide de l’ANSSI.

Mon besoin de sécurité reste modéré, je n’ai pas des données géostratégiques dans mon travail.

Le plus gros risque serait que le PC soit bloqué / Crashé / volé / rançonné car mes données ont coûté un bon travail. Donc je crois que la première sécurité serait de mettre un NAS au boulot pour stocker nos données mais c’est une autre histoire.

Concernant mon propre PC mes réflexions sont presque abouties, et résumées par rapport au guide ANSSI:

Séléctionné, première série de mesures

Activer secure boot R3

Protéger le bootloader et le bios par un code R2, R5

Paramétrer réseau IPV4, désactiver IPV6 R12 R13

verrouillage du compte root, des comptes de service, utilisation de sudo et auditd pour tracer les utilisateurs R33

R39 modifier le comportement de sudo

R62 désactiver les services inutiles

En reflexion

Activer l’IOMMU R7

paramétrer les options de configuration de la mémoire R8

paramétrer les options de configurations du noyau R9

désactiver le chargement des modules du noyau R10

activer LSM Yama R11

paramétrer le options de configuration des systèmes de fichiers R14

R31 mots de passe robustes

Et en plus :

UFW, fail2ban, keypass, cryptage des disques…

Est ce que cela vous parait cohérent?

Bonne soirée

Zargos · Août 3, 2025, 8:25pm

Sans IPv6 des sites vont devenir inaccessible de plus en plus. EN cas d’utilsiation d’équipement connecté, point de salut.
Sur ce point l’ANSSI est un peu en retard.
Il est utile d’avoir de l’IPv6 mais dans le même mode que l’IPv4 en utilisant des plages d’adresses locale only (équivalent à la RFC1918), et utilisant une IPv6 publique sur le routeur internet avec un NAT.

pour le

il faut quelque chose de correctement chiffré.

Anonymous23 · Août 3, 2025, 8:27pm

Oui, keypass juste pour le mots clés.
Pour le chiffrage je vais voir, j’utilise zulucrypt actuellement chez moi, mais je n’ai pas arrêté la solution pour le boulot.

Zargos · Août 3, 2025, 9:56pm

Zulucrypt n’est qu’un frontend.
La difficulté du chiffrage d’un disque c’est le déchiffrement au démarrage.
D’autant que la partie UEFI va demander la clef avec un clavier QWERTY.
Ceci étant, Trixie arrive avec l’UKI, ce qui devrait pas mal aider à faciliter les choses.

vbreton · Août 4, 2025, 10:43am

Un backup régulier me semble la solution. Une gravure sur support permanent et mise au coffre me semble le minimum. Une autre solution complémentaire consiste à échanger avec un tiers de confiance un jeu de sauvegarde crypté. Pour cela il est nécessaire d’identifier au préalable, la quantité de données, la fréquence des ajouts… Cela fait parti du plan de sauvegarde après sinistre mais ça se prépare avant !

Mu · Août 4, 2025, 8:47pm

kesako UKI ?

Zargos · Août 4, 2025, 9:14pm

Universal Kernel Image
https://wiki.archlinux.org/title/Unified_kernel_image
https://bbs.archlinux.org/viewtopic.php?id=300058

En gros, l’UEFI et le boot image sont unifié en un seul bloc.

Une image de noyau unifiée (UKI) est un exécutable unique qui peut être démarré directement à partir du firmware UEFI, ou automatiquement approvisionné par des chargeurs de démarrage avec peu ou pas de configuration. Il s’agit de la combinaison d’un programme UEFI boot stub comme systemd-stub(7), une image du noyau Linux, un initrd et d’autres ressources dans un seul fichier UEFI PE.

Ce fichier, et donc tous ces éléments peuvent ensuite être facilement signés pour une utilisation avec Secure Boot.

Fini l’UEFi qui te demande la clef de déchiffrement de ton disque chiffré en QWERTY, disque par disque, pour ensuite avoir ton noyau quie te redemande la même clef en AZERTY pour tous les disques du fichier crypttab.

Anonymous23 · Août 6, 2025, 8:12pm

Oui en effet. J’ai presque fini la config de mon pc pour bosser et c’est casse pied d’avoir a rentrer le user et la clé pour le grub en QWERTY puis le code pour décrypter puis le login et MDP.

Il me reste deux choses à faire. Faire tourner quelques applications métier windows sur wine.

Configurer auditd.

Bonne soirée

Zargos · Août 7, 2025, 12:32pm

Pour voir la qualité de ton système, installe Lynis (direct du paquet Debian ou utilise celui du repo de Lynis pour avoir la dernière version).

Ça te donnera une vue d’ensemble de ton système.

Je travaille actuellement avec pour finaliser les derniers éléments que je n’ai pas encore durcit (je suis passé par les recommendations de CIS Workbench) en premier lieu avec un script bash que j’ai créée à partir de ca, …et qui fait près de 10000 ligne et qui me sert à toutes mes installations ou presques).