Bureau/PC
Les distributions Linux sont généralement recommandées pour la protection de la vie privée et la liberté logicielle. Si vous n'utilisez pas encore Linux, vous trouverez ci-dessous quelques distributions que nous vous suggérons d'essayer, ainsi que des conseils généraux d'amélioration de la sécurité et de la confidentialité qui s'appliquent à de nombreuses distributions Linux.
Distributions traditionnelles¶
Fedora Workstation¶
Fedora Workstation est la distribution que nous recommandons aux personnes qui découvrent Linux. Fedora generally adopts newer technologies before other distributions e.g., Wayland, PipeWire. Ces nouvelles technologies s'accompagnent souvent d'améliorations générales en matière de sécurité, de vie privée et d'ergonomie.
Fedora a un cycle de publication semi-continu. While some packages like GNOME are frozen until the next Fedora release, most packages (including the kernel) are updated frequently throughout the lifespan of the release. Chaque version de Fedora est supportée pendant un an, avec une nouvelle version publiée tous les 6 mois.
openSUSE Tumbleweed¶
openSUSE Tumbleweed est une distribution stable à publication continue.
openSUSE Tumbleweed has a transactional update system that uses Btrfs and Snapper to ensure that snapshots can be rolled back should there be a problem.
Tumbleweed suit un modèle de publication continu où chaque mise à jour est publiée comme un instantané de la distribution. Lorsque vous mettez votre système à niveau, un nouvel instantané est téléchargé. Chaque livraison est soumise à une série de tests automatisés par openQA afin de garantir sa qualité.
Arch Linux¶
Arch Linux est une distribution légère, de type do-it-yourself (DIY), ce qui signifie que vous n'obtenez que ce que vous installez. Pour plus d'informations, voir leur FAQ.
Arch Linux a un cycle de publication continue. Il n'y a pas de calendrier de publication fixe et les paquets sont mis à jour très fréquemment.
S'agissant d'une distribution DIY, vous êtes censé mettre en place et maintenir votre système par vous-même. Arch a un installateur officiel pour rendre le processus d'installation un peu plus facile.
Une grande partie des paquets d'Arch Linux sont reproductibles.
Distributions atomiques¶
Les distributions atomiques (parfois également appelées distributions immuables) sont des systèmes d'exploitation qui gèrent l'installation et la mise à jour des paquets en superposant les changements à l'image de base du système, plutôt qu'en modifiant directement le système. Cela présente des avantages, notamment une plus grande stabilité et la possibilité de revenir facilement en arrière sur les mises à jour. Voir Mises à jour traditionnelles vs. atomiques pour plus d'informations.
Fedora Atomic Desktops¶
Fedora Atomic Desktops sont des variantes de Fedora qui utilisent le gestionnaire de paquets rpm-ostree
et qui sont fortement axées sur les flux de travail conteneurisés et Flatpak pour les applications de bureau. Toutes ces variantes suivent le même calendrier de publication que Fedora Workstation, bénéficiant des mêmes mises à jour rapides et restant très proches de l'original.
The Fedora Atomic Desktops come in a variety of flavors depending on the desktop environment you prefer, such as Fedora Silverblue (which comes with GNOME), Fedora Kinoite, (which comes with KDE), Fedora Sway Atomic, or Fedora Budgie Atomic. Cependant, nous ne recommandons pas la dernière solution car l'environnement de bureau Budgie nécessite toujours X11.
These operating systems differ from Fedora Workstation as they replace the DNF package manager with a much more advanced alternative called rpm-ostree
. Le gestionnaire de paquets rpm-ostree
fonctionne en téléchargeant une image de base pour le système, puis en superposant des paquets par-dessus dans une arborescence de commits semblable à git. Lorsque le système est mis à jour, une nouvelle image de base est téléchargée et les surcouches seront appliquées à cette nouvelle image.
Une fois la mise à jour terminée, vous redémarrerez le système sur le nouveau déploiement. rpm-ostree
conserve deux déploiements du système afin que vous puissiez facilement revenir en arrière si quelque chose se casse dans le nouveau déploiement. Il est également possible d'épingler plus de déploiements selon les besoins.
Flatpak is the primary package installation method on these distributions, as rpm-ostree
is only meant to overlay packages that cannot stay inside of a container on top of the base image.
As an alternative to Flatpaks, there is the option of Toolbox to create Podman containers with a shared home directory with the host operating system and mimic a traditional Fedora environment, which is a useful feature for the discerning developer.
NixOS¶
NixOS est une distribution indépendante basée sur le gestionnaire de paquets Nix avec un accent sur la reproductibilité et la fiabilité.
Le gestionnaire de paquets de NixOS conserve chaque version de chaque paquet dans un dossier différent dans le magasin Nix. De ce fait, vous pouvez avoir différentes versions d'un même paquet installé sur votre système. Une fois que le contenu du paquet a été écrit dans le dossier, ce dernier est mis en lecture seule.
NixOS fournit également des mises à jour atomiques ; il télécharge d'abord (ou construit) les paquets et les fichiers pour la nouvelle génération de système et ensuite bascule dessus. Il y a différentes façons de passer à une nouvelle génération ; vous pouvez dire à NixOS de l'activer après le redémarrage ou vous pouvez basculer sur celle-ci pendant l'exécution. Vous pouvez également tester la nouvelle génération en basculant sur celle-ci pendant l'exécution, mais sans la définir comme la génération actuelle du système. Si quelque chose se casse pendant le processus de mise à jour, vous pouvez simplement redémarrer et revenir automatiquement à une version fonctionnelle de votre système.
Nix, le gestionnaire de paquets, utilise un langage purement fonctionnel - qui s'appelle aussi Nix - pour définir les paquets.
Nixpkgs (la source principale des paquets) sont contenus dans un seul dépôt GitHub. Vous pouvez également définir vos propres paquets dans le même langage, puis les inclure facilement dans votre configuration.
Nix est un gestionnaire de paquets basé sur les sources ; s'il n'y a pas de paquet pré-construit disponible dans le cache binaire, Nix construira simplement le paquet à partir des sources en utilisant sa définition. Il construit chaque paquet dans un environnement pur en bac à sable, qui est aussi indépendant que possible du système hôte, ce qui rend les binaires reproductibles.
Distributions axées sur l'anonymat¶
Whonix¶
Whonix est basée sur Kicksecure, une version de Debian axée sur la sécurité. Il vise à assurer la vie privée, la sécurité et l'anonymat sur Internet. Whonix est utilisé de préférence en conjonction avec Qubes OS.
Whonix est conçu pour fonctionner sous la forme de deux machines virtuelles : une "Station de travail" et une "Passerelle" Tor. Toutes les communications de la Station de travail doivent passer par la passerelle Tor. Cela signifie que même si la Station de travail est compromise par un logiciel malveillant quelconque, la véritable adresse IP reste cachée.
Some of its features include Tor Stream Isolation, keystroke anonymization, encrypted swap, and a hardened memory allocator. Future versions of Whonix will likely include full system AppArmor policies and a sandbox app launcher to fully confine all processes on the system.
Whonix is best used in conjunction with Qubes. Nous avons un guide recommandé sur la configuration de Whonix en conjonction avec un VPN ProxyVM dans Qubes pour cacher vos activités Tor à votre FAI.
Tails¶
Tails est un système d'exploitation autonome basé sur Debian qui fait passer toutes les communications par Tor, et qui peut démarrer sur presque n'importe quel ordinateur à partir d'un DVD, d'une clé USB ou d'une installation sur carte SD. Il utilise Tor pour préserver la vie privée et l'anonymat tout en contournant la censure, et il ne laisse aucune trace de son passage sur l'ordinateur sur lequel il est utilisé après avoir été éteint.
Avertissement
Tails n'efface pas la mémoire vidéo lors de l'arrêt. Lorsque vous redémarrez votre ordinateur après avoir utilisé Tails, il se peut qu'il affiche brièvement le dernier écran affiché dans Tails. Si vous éteignez votre ordinateur au lieu de le redémarrer, la mémoire vidéo s'effacera automatiquement après un certain temps d'inactivité.
Tails est excellent pour la contre-analyse en raison de son amnésie (ce qui signifie que rien n'est écrit sur le disque) ; cependant, ce n'est pas une distribution renforcée comme Whonix. Elle ne dispose pas de nombreuses fonctions d'anonymat et de sécurité comme Whonix et est mise à jour beaucoup moins souvent (seulement une fois toutes les six semaines). Un système Tails compromis par un logiciel malveillant peut potentiellement contourner le proxy transparent et permettre à l'utilisateur d'être désanonymisé.
Tails includes uBlock Origin in Tor Browser by default, which may potentially make it easier for adversaries to fingerprint Tails users. Les machines virtuelles Whonix sont peut-être plus étanches, mais elles ne sont pas amnésiques, ce qui signifie que les données peuvent être récupérées sur votre périphérique de stockage.
De par sa conception, Tails est censé se réinitialiser complètement après chaque redémarrage. Encrypted persistent storage can be configured to store some data between reboots.
Distributions axées sur la sécurité¶
Qubes OS¶
Qubes OS est un système d'exploitation open-source conçu pour fournir une sécurité forte pour l'informatique de bureau à travers des machines virtuelles sécurisées (ou "qubes"). Qubes est basé sur Xen, le système de fenêtre X, et Linux. Il peut exécuter la plupart des applications Linux et utiliser la plupart des pilotes Linux.
Qubes OS sécurise l'ordinateur en isolant les sous-systèmes (par exemple, le réseau, l'USB, etc.) et les applications dans des qubes distincts. Si une partie du système est compromise, l'isolation supplémentaire est susceptible de protéger le reste des qubes et le système central.
Pour plus d'informations sur le fonctionnement de Qubes, lisez notre page Introduction à Qubes.
Kicksecure¶
Bien que nous déconseillions d'utiliser des distributions "perpétuellement obsolètes" comme Debian pour un usage bureautique dans la plupart des cas, Kicksecure est un système d'exploitation basé sur Debian qui a été renforcé pour être bien plus qu'une installation Linux classique.
Kicksecure - en termes simplifiés à l'extrême - est un ensemble de scripts, de configurations et de paquets qui réduisent considérablement la surface d'attaque de Debian. Il couvre par défaut un grand nombre de recommandations en matière de confidentialité et de durcissement. Il sert également de système d'exploitation de base pour Whonix.
Critères¶
Le choix d'une distribution Linux qui vous convient dépend d'une grande variété de préférences personnelles, et cette page n'est pas une liste exhaustive de toutes les distributions viables. Notre page d'introduction à Linux contient des conseils plus détaillés sur le choix d'une distribution. Les distributions sur cette page suivent généralement les lignes directrices que nous avons abordées là-bas, et respectent toutes ces normes :
- Gratuites et open source.
- Reçoivent régulièrement des mises à jour des logiciels et du noyau.
- Évitent X11.
- L'exception notable est Qubes, mais la virtualisation permet d'éviter les problèmes d'isolation que rencontre généralement X11. Cette isolation ne s'applique qu'aux applications fonctionnant dans différents qubes (machines virtuelles), les applications fonctionnant dans le même qube ne sont pas protégées les unes des autres.
- Prennent en charge le chiffrement complet du disque pendant l'installation.
- Ne gêlent pas les mises à jour régulières pendant plus d'un an.
- Nous ne recommandons pas les versions "Long Term Support" ou "stables" de distributions pour une utilisation de bureau.
- Prennent en charge une grande variété de matériel.
- Préférence pour les projets de plus grande envergure.
- La maintenance d'un système d'exploitation est un défi majeur, et les petits projets ont tendance à faire plus d'erreurs évitables ou à retarder les mises à jour critiques (ou pire, à disparaître complètement). Nous privilégions les projets qui seront probablement toujours présents dans 10 ans (que ce soit grâce au soutien d'une entreprise ou à un soutien communautaire très important), et nous évitons les projets qui sont construits de zéro ou qui ont un petit nombre de mainteneurs.
En outre, nos critères standards pour les projets recommandés s'appliquent toujours. Veuillez noter que nous ne sommes affiliés à aucun des projets que nous recommandons.
Share this website and spread privacy knowledge
Copy this text to easily share Privacy Guides with your friends and family on any social network!