Guide d'autodéfense numérique

Ce qui commence à ressembler à une solution sérieuse, ce serait de faire fonctionner Windows dans un compartiment étanche, dans lequel on ouvrirait, quand c’est nécessaire et en connaissance de cause, une porte pour lui permettre de communiquer avec l’extérieur de façon strictement limitée.

En d’autres termes, mettre en place une solution basée sur une logique de type liste autorisée : rien ne pourrait entrer dans Windows ou en sortir a priori, et à partir de cette règle générale, on autorise des exceptions, au cas par cas, en réfléchissant à leur impact.

La virtualisation1 permet de mettre en place ce type de systèmes. C’est un ensemble de techniques matérielles et logicielles qui permettent de faire fonctionner, sur un seul ordinateur, plusieurs systèmes d’exploitation, séparément les uns des autres, (presque) comme s’ils fonctionnaient sur des machines physiques distinctes.

Il est ainsi relativement facile, de nos jours, de faire fonctionner Windows à l’intérieur d’un système GNU/Linux, en lui coupant, par la même occasion, tout accès au réseau — et en particulier, en l’isolant d’Internet.

Attention : il est conseillé de lire l’intégralité de ce chapitre avant de se précipiter sur les recettes pratiques ; la description de l’hypothèse qui suit est assez longue, et ses limites sont étudiées à la fin de ce chapitre, où des contre-mesures sont envisagées. Il serait quelque peu dommage de passer quatre heures à suivre ces recettes, avant de se rendre compte qu’une toute autre solution serait, en fait, plus adéquate.

Commençons par résumer l’hypothèse proposée.

L’idée est donc de faire fonctionner Windows dans un compartiment a priori étanche, à l’intérieur d’un système Debian chiffré tel que celui qui a pu être mis en place à la suite de la lecture du cas d’usage précédent. Ce qui servira de disque dur à Windows, c’est en fait un gros fichier stocké sur le disque dur de notre système Debian chiffré.


  1. Pour plus d’informations, voir la page Wikipédia, 2014, Virtualisation.