Qubes OS: Ouvrir les liens et documents dans une autre appVM

Dans Qubes OS, il est possible (Même recommandé) d’ouvrir automatiquement les liens suspects dans une autre VM. Nous allons nous baser sur un article de Micah Lee et en étendre le principe aux PDF et aux images.

 

Présentation de Qubes OS

Jusqu’à présent je n’en ai jamais parlé ici, mais j’utilise Qubes OS depuis la version 3.1 que j’ai découverte en mai dernier.

Qubes OS est basé sur Xen (un hyperviseur de type 1 ou bare-metal), dont les particularités sont d’utiliser un micro-noyau et de sécuriser par l’isolation. Il permet de faire tourner, entres autres, des distrib comme Fedora, Debian, ou aussi Whonix (un OS divisé en 2 parties qui utlise le réseau Tor), dans des VM toutes cloisonnées. Il est possible d´ajouter d’autres systèmes d’exploitation à partir de ceux déjà installés, et aussi d’y installer Windows. Cette isolation entre les VM ainsi que son système à micro-noyau permettent de renforcer la sécurité et d’avoir différentes configurations réseaux ou offline sur un même ordi, gérées par des netVM et administrées sur un même manager.

 

Application de la méthode de Micah Lee

L’idée est d’utiliser la commande qvm-open-in-vm dans un fichier .desktop afin d’automatiser l’ouverture d’un lien vers une autre VM, ceci afin d’éviter toute compromission en cas de mail frauduleux. Tout d’abord, créons ce fichier .desktop dans lequel nous allons écrire le script. Ici, je l’ai appelé untrusted_vm parce-qu’il redirigera l’ouverture des documents dans la VM nommée « untrusted ». Mais si vous voulez l’ouvrir dans une autre VM, adaptez le nom (Rien d’obligatoire dans le choix du nom, c’est juste pour se repérer).

 

Ensuite, entrez-y le code suivant :

[Desktop Entry]
Encoding=UTF-8
Name=BrowserVM
Exec=qvm-open-in-vm untrusted %u
Terminal=false
X-MultipleArgs=false
Type=Application
Categories=Network;WebBrowser;
MimeType=x-scheme-handler/unknown;x-scheme-handler/about;text/html;text/xml;application/xhtml+xml;application/xml;application/vnd.mozilla.xul+xml;application/rss+xml;application/rdf+xml;image/gif;image/jpeg;image/png;x-scheme-handler/http;x-scheme-handler/https;

À la ligne Exec=qvm-open-in-vm, remplacez « untrusted » par le nom de la VM vers laquelle vous voulez rediriger l’ouverture des liens.

Ensuite, nous allons définir ce script comme navigateur par défaut avec la commande xdg-settings set default-web-browser untrusted_vm.desktop

 

Étendons le principe aux images et aux PDF

Maintenant que nous avons automatisé l’ouverture des liens vers une autre VM, nous allons utiliser le même script pour l’appliquer à l’ouverture de fichiers. Lorsque nous avons entré la commande xdg-settings, un fichier mimeapps.list a été créé dans /home/user/.config/. Ouvrons le.

 

Le contenu doit ressembler à ceci :

 

Nous pouvons y ajouter quelques lignes pour y inclure images et PDF, comme les 4 dernières ci-dessous.

 

Nous pouvons maintenant tester. Je vais prendre le mail d’un pirate pré-pubère qui tente un phishing aussi ridicule que lui.

 

Quand je clique sur le lien « Je sécurise mon compte », ce message apparait (Il apparait juste la première fois).

 

Je clique sur « Yes to All », et le lien s’ouvre bien dans l’appVM Untrusted

L’action est similaire pour l’ouverture des PDF et images.

 

Améliorations à faire

J’ai tenté rapidement de remplacer, dans le fichier .desktop à la ligne Exec, le nom de la VM par la variable $dispvm ou d’utiliser la commande qvm-open-in-dvm afin de rediriger vers une disposableVM (Une VM jetable). Avec la variable $dispvm, l’ouverture des liens s’effectue bien mais la connection échoue. Le problème doit être minime mais je n’ai pas encore trouvé la solution. J’essaierai d’y remédier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *