Pendant que certains rabaissent la sécurité au raz des pâquerettes en lançant le débat sur l’interdiction du BYOD, l’éditeur anti-virus Kaspersky a annoncé il y a peu le lancement d’un projet de création d’un nouveau système d’exploitation, spécialisé pour les systèmes de contrôle industriels. Parmi les spécifications de ce projet, les principaux points à retenir :
- Refus de se baser sur un code préexistant, ce qui signifie tout réécrire de A à Z ;
- Absence totale de vulnérabilités (si, si) dans le noyau de l’OS, et capacité à prouver cette absence de failles (à voir comment…) ;
- A cet effet, ce noyau doit être limité au strict minimum et comporter le moins de lignes de code possible, en reléguant de nombreuses fonctionnalités (comme les pilotes de périphériques) dans des modules externes disposant d’un moindre niveau de privilège (alors que dans les principaux OS grand public, les noyaux sont composés de centaines de milliers de lignes de code) ;
- Un modèle de sécurité adapté aux menaces modernes.
Jusqu’ici, en dehors de ces grandes lignes, on en sait peu sur la manière dont va procéder Kaspersky pour concevoir ce nouveau système d’exploitation. Il y a cependant dans cette démarche un nouvel indice d’une évolution intéressante de la sécurité, à savoir descendre dans les couches du système pour se rapprocher du matériel (voire, l’envahir — cf par exemple le rachat de McAfee par Intel il y a quelques temps, et l’ambition associée d’intégrer des fonctionnalités anti-virales dans les processeurs). Cette évolution est motivée par l’impossibilité de se protéger des menaces modernes lorsqu’on ne maîtrise pas le socle du système au-dessus duquel l’on développe des applications.
Ironie de l’histoire, alors que Microsoft tente d’intégrer un dispositif anti-virus directement dans son OS Windows, l’annonce avait provoqué en son temps une levée de boucliers des éditeurs antivirus qui y voyaient une pratique anti-concurrentielle. C’est pourtant, techniquement parlant, la bonne approche : la sécurité, en tant que produit tiers, a largement échoué pour une multitude de raisons, et donne de biens meilleurs résultats lorsqu’elle est diluée dans les systèmes qu’elle tente de protéger.
On verra comment réagira (ou pas) Microsoft à l’annonce de Kaspersky qui, pour le coup, marche complètement sur les pieds du géant américain, en proposant un OS alternatif qui, bien que limitée à un marché de niche, pourrait bien faire tache d’huile.