UDS 13.04 : Confinement des applications.

C’est devenu maintenant commun dans le monde des smartphones, et bientôt aussi dans le monde des ordinateurs personnels : le confinement des applications devrait arriver à terme dans Ubuntu.

Lors de l’UDS 13.04, 4 sessions ont été dédiées au confinement des applications.

Le confinement, qu’est ce que c’est ?

Le confinement des applications (sandboxing) consiste à partir du principe que les applications installées par l’utilisateur ne sont pas forcément sécurisées et qu’elles pourraient vouloir accéder à des informations qui ne les concernent pas, ce qui pourrait éventuellement mettre en danger les données de l’utilisateur. Cette vision est en opposition avec la politique suivie jusqu’à présent qui considère qu’une fois que l’utilisateur a installé l’application, on ne se préoccupe pas forcément de ce qu’elle peut faire ou non dans l’espace utilisateur.

Du coup, avec le confinement, les applications n’ont accès à rien par défaut. Pour pouvoir accéder aux différents éléments clés du système, elles doivent avoir défini un profil de sécurité et demander un accès préalable. Ces accès sont limités au strict minimum et ne peuvent « déborder ».

Par exemple, actuellement, une application peut avoir accès à la totalité du trousseau des mots de passe de GNOME. Avec un confinement, l’application devrait avoir demandé au préalable un accès au trousseau de mots de passe et, une fois cet accès accordé, elle n’aurait accès qu’à ses propres mots de passe. Rien de plus.

Le confinement dans Ubuntu

Selon les informations de l’UDS, le confinement va être géré par un processus en arrière-plan qui va bloquer par défaut tous les accès pour les applications en s’appuyant sur AppArmor. L’application par défaut devra fournir un profil de sécurité indiquant les accès dont elle a besoin et elle ne devrait pas pouvoir sortir de ces limite, à moins que l’utilisateur lui en donne expressément l’autorisation. Ce système devrait être étendu aussi bien aux applications natives qu’aux applications Web et aux comptes en ligne.

 

3 réflexions sur “ UDS 13.04 : Confinement des applications. ”

    1. Je ne sais pas vraiment. Par contre le confinement des applications en particulier est une solution intéressante et moderne qui permet d’améliorer la sécurité.

  1. Aucune sécurité n’est parfaite. Cela dit, le confinement (sandboxing) permet d’étendre la sécurité.

    Comparons avec Android, par exemple, puisque c’est un système qui fait massivement l’utilisation de ce procédé. À l’exception des processus système, toutes les autres applications (Navigateur, Téléphone, Contacts, chaque application en provenance du Play Store…) fonctionnent dans leur propre sandbox. Pour accéder à une ressource particulière (par exemple: accéder au stockage interne du téléphone, accéder à Internet, lire la liste des numéros de téléphone, accéder aux données des autres applications…), les applications doivent se doter de ces accès. L’utilisateur est prévenu des accès requis par l’application au moment de leur installation — ce sont les fameuses permissions. À l’utilisateur de faire un choix éclairé, d’installer les applications ou non.

    Il y a un point à relativiser aussi: beaucoup d’applications pour Android, pour continuer dans cette veine, demandent beaucoup trop de permissions. À tort ou à raison? je ne suis pas développeur, je ne peux donc pas répondre. J’ai cru entendre entre le système des permissions de Android était difficile à bien saisir (trop de permissions différentes, des permissions mal définies…), ce qui pourrait inciter des développeurs à simplement demander toutes les permissions pour une application. Du coup, le confinement devient moins intéressant.

    Enfin, pour reprendre ma première phrase: aucune sécurité n’est parfaite. Il est déjà arrivé que des failles de sécurité soient trouvées de manière à ce qu’une application puisse sortir de sa sandbox. Cela dit, le principe demeure intéressant dans le but d’accroître la sécurité.

Laisser un commentaire