Sécurix : L'OS qui remplacera Windows et que le monde entier nous enviera

La question que tout le monde se pose désormais : mais quelle distribution ?

Un indice ? Vous ne devinerez jamais !
Nous avons eu Astérix, célèbre petit gaulois et notre premier satellite français en orbite, Footix, la mascotte de la Coupe du monde 1998 que le monde entier nous a enviée, et maintenant, voici « Sécurix » : la distribution Linux de la DINUM, basée sur NixOS !

https://github.com/cloud-gouv/securix

https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes/

Sécurix ; Seul le nom est une mauvaise idée!

Au dela du nom , qui pourrait être mieux mais qui semble vouloir reflété que c’est une distib penser pour la sécu ( secu by disign ).
Securix a tout poour etre un coup de génie. Voici pourquoi.

Sécurix est basé sur NixOS qui a la particularité d’être une distribution Linux unique, construite autour du gestionnaire de paquets Nix et du langage de configuration Nix. Voici ce qui la rend spéciale et comment elle se distingue des autres distributions :

Nix, le gestionnaire de paquets

Nix est un gestionnaire de paquets déclaratif, reproductible et atomique. Chaque paquet est installé dans son propre répertoire (/nix/store), avec toutes ses dépendances. Cela évite les conflits entre versions de bibliothèques ou de logiciels.
* Pas de "DLL Hell" : Plusieurs versions d’un même logiciel ou bibliothèque peuvent coexister sans conflit.
* Installations atomiques : Une installation ou une mise à jour ne casse pas le système. Si quelque chose ne fonctionne pas, vous pouvez revenir en arrière instantanément.
* Fichier de configuration unique : Le fichier /etc/nixos/configuration.nix définit tout le système : paquets installés, services activés, paramètres réseau, utilisateurs, etc. Vous déclarez l’état souhaité, et NixOS s’occupe du reste.

Reproductibilité et fiabilité

• Environnements isolés : Chaque utilisateur peut avoir son propre environnement avec des versions spécifiques de logiciels, sans affecter les autres utilisateurs ou le système.
• Rollback instantané : Si une mise à jour ou une modification casse quelque chose, un simple nixos-rebuild switch --rollback permet de revenir à la version précédente du système.
• Tests avant déploiement : Vous pouvez tester une nouvelle configuration dans un environnement virtuel avant de l’appliquer au système réel.

Déploiement et maintenance

• Mises à jour sans risque : Les mises à jour sont appliquées de manière atomique. Si quelque chose ne va pas, le système reste dans un état cohérent.
• Déploiement à distance : NixOS est idéal pour gérer des parcs de machines de manière centralisée et reproductible.
• Communauté et Nixpkgs : La collection de paquets Nixpkgs est immense et maintenue activement par la communauté.

Mais est-ce que c’est souverain ?

NixOS n’est pas français, et alors ?
C’est un projet open source, porté par la fondation NixOS.
À l’origine, a la base NixOS est né d’un travail de recherche d’Eelco Dolstra, à l’université d’Utrecht, aux Pays-Bas.
De toute façon, Linux n’a pas de nationalité. Il n’appartient à personne… et c’est justement ce qui fait sa force : tout le monde peut y contribuer !

Alors, Sécurix, ça apporte quoi de plus ?

De la sécu à fond, tout simplement !
Modules de sécurité intégrés :
* Configuration ultra-sécurisée : Tout est paramétré selon les recommandations de l’ANSSI pour les systèmes GNU/Linux.
* TPM2 et YubiKey : Gestion avancée des clés d’authentification.
* Chiffrement des données : Avec age ou un serveur Vault.
* Secure Boot renforcé : Enrôlement centralisé avec gestion PK/KEK.
* Connexion FIDO2 : Le mot de passe ? Juste un plan B.
* Déverrouillage du poste : Directement avec une clé FIDO2 (une clé de secours est générée à l’installation).
En développement (par priorité) :
* Durcissement supplémentaire : Application des recommandations ANSSI et mise en place d’un puits de traces pour surveiller les activités du système.
* Onboarding express et gestion centralisée :
* Un serveur "phone home" pour ajouter automatiquement :
* La clé SSH TPM2 du système au dépôt d’infrastructure.
* L’autorisation pour déchiffrer les secrets via age (ou futur Vault).
* Intégration fluide dans les processus métiers pour déployer un nouveau poste Sécurix.
* Gestion avancée des clés Secure Boot : Rotation et renforcement avec TPM2.
Bref, Sécurix, c’est NixOS… mais en mode blindé !

Pourquoi Sécurix, c’est une super idée ?

• Adieu les galères de mises à jour : Grâce au rollback, on revient en arrière en un clic si une mise à jour foire. Plus de casse-tête avec les versions logicielles ou du système.
• Liberté de choix : Tu préfères GNOME, KDE, MATE ou autre ? Pas de problème, tu choisis ton environnement de bureau.
• Tests simplifiés et CI/CD : Les paquets sont testés plus facilement et plus vite. On gagne du temps et on réduit les bugs.
• Isolation = stabilité et sécurité : Chaque logiciel vit dans sa bulle, sans interférer avec les autres. Moins de conflits, plus de stabilité.
• Sécurité au top : Avec Sécurix, on pousse la sécu à donf. Difficile de faire mieux.

En résumé ? Puissant, flexible et ultra-sécurisé. Bref, une excellente idée !
Si ça marche, NixOS pourrait bien percer en entreprise aussi.
Envie de tester ?
Télécharge NixOS ici : nixos.org/download/#nixos-iso