Bureau/PC
Les distributions Linux sont généralement recommandées pour la protection de la vie privée et la liberté logicielle. Si vous n'utilisez pas encore Linux, vous trouverez ci-dessous quelques distributions que nous vous suggérons d'essayer, ainsi que des conseils généraux d'amélioration de la sécurité et de la confidentialité qui s'appliquent à de nombreuses distributions Linux.
Distributions traditionnelles¶
Fedora Workstation¶
Fedora Workstation est la distribution que nous recommandons aux personnes qui découvrent Linux. Fedora generally adopts newer technologies (e.g., Wayland and PipeWire) before other distributions. Ces nouvelles technologies s'accompagnent souvent d'améliorations générales en matière de sécurité, de vie privée et d'ergonomie.
Fedora a un cycle de publication semi-continu. While some packages like GNOME are frozen until the next Fedora release, most packages (including the kernel) are updated frequently throughout the lifespan of the release. Chaque version de Fedora est supportée pendant un an, avec une nouvelle version publiée tous les 6 mois.
openSUSE Tumbleweed¶
openSUSE Tumbleweed est une distribution stable à publication continue.
openSUSE Tumbleweed uses Btrfs and Snapper to ensure that snapshots can be rolled back should there be a problem.
Tumbleweed suit un modèle de publication continu où chaque mise à jour est publiée comme un instantané de la distribution. Lorsque vous mettez votre système à niveau, un nouvel instantané est téléchargé. Chaque livraison est soumise à une série de tests automatisés par openQA afin de garantir sa qualité.
Arch Linux¶
Arch Linux is a lightweight, do-it-yourself (DIY) distribution, meaning that you only get what you install. Pour plus d'informations, voir leur FAQ.
Arch Linux a un cycle de publication continue. Il n'y a pas de calendrier de publication fixe et les paquets sont mis à jour très fréquemment.
S'agissant d'une distribution DIY, vous êtes censé mettre en place et maintenir votre système par vous-même. Arch a un installateur officiel pour rendre le processus d'installation un peu plus facile.
Une grande partie des paquets d'Arch Linux sont reproductibles.
Distributions atomiques¶
Les distributions atomiques (parfois également appelées distributions immuables) sont des systèmes d'exploitation qui gèrent l'installation et la mise à jour des paquets en superposant les changements à l'image de base du système, plutôt qu'en modifiant directement le système. Advantages of atomic distros include increased stability and the ability to easily roll back updates. Voir Mises à jour traditionnelles vs. atomiques pour plus d'informations.
Fedora Atomic Desktops¶
Fedora Atomic Desktops sont des variantes de Fedora qui utilisent le gestionnaire de paquets rpm-ostree
et qui sont fortement axées sur les flux de travail conteneurisés et Flatpak pour les applications de bureau. Toutes ces variantes suivent le même calendrier de publication que Fedora Workstation, bénéficiant des mêmes mises à jour rapides et restant très proches de l'original.
Fedora Atomic Desktops come in a variety of flavors depending on the desktop environment you prefer. As with the recommendation to avoid X11 in our criteria for Linux distributions, we recommend avoiding flavors that support only the legacy X11 window system.
These operating systems differ from Fedora Workstation as they replace the DNF package manager with a much more advanced alternative called rpm-ostree
. Le gestionnaire de paquets rpm-ostree
fonctionne en téléchargeant une image de base pour le système, puis en superposant des paquets par-dessus dans une arborescence de commits semblable à git. Lorsque le système est mis à jour, une nouvelle image de base est téléchargée et les surcouches seront appliquées à cette nouvelle image.
After the update is complete, you will reboot the system into the new deployment. rpm-ostree
keeps two deployments of the system so that you can easily roll back if something breaks in the new deployment. Il est également possible d'épingler plus de déploiements selon les besoins.
Flatpak is the primary package installation method on these distributions, as rpm-ostree
is only meant to overlay packages that cannot stay inside of a container on top of the base image.
As an alternative to Flatpaks, there is the option of Toolbx to create Podman containers which mimic a traditional Fedora environment, a useful feature for the discerning developer. These containers share a home directory with the host operating system.
NixOS¶
NixOS est une distribution indépendante basée sur le gestionnaire de paquets Nix avec un accent sur la reproductibilité et la fiabilité.
Le gestionnaire de paquets de NixOS conserve chaque version de chaque paquet dans un dossier différent dans le magasin Nix. De ce fait, vous pouvez avoir différentes versions d'un même paquet installé sur votre système. Une fois que le contenu du paquet a été écrit dans le dossier, ce dernier est mis en lecture seule.
NixOS also provides atomic updates. It first downloads (or builds) the packages and files for the new system generation and then switches to it. There are different ways to switch to a new generation: you can tell NixOS to activate it after reboot or you can switch to it at runtime. Vous pouvez également tester la nouvelle génération en basculant sur celle-ci pendant l'exécution, mais sans la définir comme la génération actuelle du système. Si quelque chose se casse pendant le processus de mise à jour, vous pouvez simplement redémarrer et revenir automatiquement à une version fonctionnelle de votre système.
The Nix package manager uses a purely functional language—which is also called Nix—to define packages.
Nixpkgs (la source principale des paquets) sont contenus dans un seul dépôt GitHub. Vous pouvez également définir vos propres paquets dans le même langage, puis les inclure facilement dans votre configuration.
Nix est un gestionnaire de paquets basé sur les sources ; s'il n'y a pas de paquet pré-construit disponible dans le cache binaire, Nix construira simplement le paquet à partir des sources en utilisant sa définition. It builds each package in a sandboxed pure environment, which is as independent of the host system as possible. Binaries built with this method are reproducible, which can be useful as a safeguard against Supply Chain Attacks.
Distributions axées sur l'anonymat¶
Whonix¶
Whonix est basée sur Kicksecure, une version de Debian axée sur la sécurité. Il vise à assurer la vie privée, la sécurité et l'anonymat sur Internet. Whonix est utilisé de préférence en conjonction avec Qubes OS.
Whonix est conçu pour fonctionner sous la forme de deux machines virtuelles : une "Station de travail" et une "Passerelle" Tor. Toutes les communications de la Station de travail doivent passer par la passerelle Tor. Cela signifie que même si la Station de travail est compromise par un logiciel malveillant quelconque, la véritable adresse IP reste cachée.
Some of its features include Tor Stream Isolation, keystroke anonymization, encrypted swap, and a hardened memory allocator. Future versions of Whonix will likely include full system AppArmor policies and a sandboxed app launcher to fully confine all processes on the system.
Whonix is best used in conjunction with Qubes. Nous avons un guide recommandé sur la configuration de Whonix en conjonction avec un VPN ProxyVM dans Qubes pour cacher vos activités Tor à votre FAI.
Tails¶
Tails est un système d'exploitation autonome basé sur Debian qui fait passer toutes les communications par Tor, et qui peut démarrer sur presque n'importe quel ordinateur à partir d'un DVD, d'une clé USB ou d'une installation sur carte SD. Il utilise Tor pour préserver la vie privée et l'anonymat tout en contournant la censure, et il ne laisse aucune trace de son passage sur l'ordinateur sur lequel il est utilisé après avoir été éteint.
Avertissement
Tails n'efface pas la mémoire vidéo lors de l'arrêt. Lorsque vous redémarrez votre ordinateur après avoir utilisé Tails, il se peut qu'il affiche brièvement le dernier écran affiché dans Tails. Si vous éteignez votre ordinateur au lieu de le redémarrer, la mémoire vidéo s'effacera automatiquement après un certain temps d'inactivité.
Tails est excellent pour la contre-analyse en raison de son amnésie (ce qui signifie que rien n'est écrit sur le disque) ; cependant, ce n'est pas une distribution renforcée comme Whonix. Elle ne dispose pas de nombreuses fonctions d'anonymat et de sécurité comme Whonix et est mise à jour beaucoup moins souvent (seulement une fois toutes les six semaines). A Tails system that is compromised by malware may potentially bypass the transparent proxy, allowing for the user to be deanonymized.
Tails includes uBlock Origin in Tor Browser by default, which may potentially make it easier for adversaries to fingerprint Tails users. Les machines virtuelles Whonix sont peut-être plus étanches, mais elles ne sont pas amnésiques, ce qui signifie que les données peuvent être récupérées sur votre périphérique de stockage.
De par sa conception, Tails est censé se réinitialiser complètement après chaque redémarrage. Encrypted persistent storage can be configured to store some data between reboots.
Distributions axées sur la sécurité¶
Qubes OS¶
Qubes OS est un système d'exploitation open-source conçu pour fournir une sécurité forte pour l'informatique de bureau à travers des machines virtuelles sécurisées (ou "qubes"). Qubes est basé sur Xen, le système de fenêtre X, et Linux. Il peut exécuter la plupart des applications Linux et utiliser la plupart des pilotes Linux.
Qubes OS sécurise l'ordinateur en isolant les sous-systèmes (par exemple, le réseau, l'USB, etc.) et les applications dans des qubes distincts. Si une partie du système est compromise, l'isolation supplémentaire est susceptible de protéger le reste des qubes et le système central.
Pour plus d'informations sur le fonctionnement de Qubes, lisez notre page Introduction à Qubes.
Kicksecure¶
While we recommend against "perpetually outdated" distributions like Debian for desktop use in most cases, Kicksecure is a Debian-based operating system which has been hardened to be much more than a typical Linux install.
Kicksecure - en termes simplifiés à l'extrême - est un ensemble de scripts, de configurations et de paquets qui réduisent considérablement la surface d'attaque de Debian. Il couvre par défaut un grand nombre de recommandations en matière de confidentialité et de durcissement. Il sert également de système d'exploitation de base pour Whonix.
Critères¶
Le choix d'une distribution Linux qui vous convient dépend d'une grande variété de préférences personnelles, et cette page n'est pas une liste exhaustive de toutes les distributions viables. Notre page d'introduction à Linux contient des conseils plus détaillés sur le choix d'une distribution. Les distributions sur cette page suivent généralement les lignes directrices que nous avons abordées là-bas, et respectent toutes ces normes :
- Gratuites et open source.
- Reçoivent régulièrement des mises à jour des logiciels et du noyau.
- Avoids X11, as its last major release was more than a decade ago.
- The notable exception here is Qubes, but the isolation issues which X11 typically has are avoided by virtualization. This isolation only applies to apps running in different qubes (virtual machines); apps running in the same qube are not protected from each other.
- Prennent en charge le chiffrement complet du disque pendant l'installation.
- Ne gêlent pas les mises à jour régulières pendant plus d'un an.
- Nous ne recommandons pas les versions "Long Term Support" ou "stables" de distributions pour une utilisation de bureau.
- Prennent en charge une grande variété de matériel.
- Préférence pour les projets de plus grande envergure.
- La maintenance d'un système d'exploitation est un défi majeur, et les petits projets ont tendance à faire plus d'erreurs évitables ou à retarder les mises à jour critiques (ou pire, à disparaître complètement). Nous privilégions les projets qui seront probablement toujours présents dans 10 ans (que ce soit grâce au soutien d'une entreprise ou à un soutien communautaire très important), et nous évitons les projets qui sont construits de zéro ou qui ont un petit nombre de mainteneurs.
En outre, nos critères standards pour les projets recommandés s'appliquent toujours. Veuillez noter que nous ne sommes affiliés à aucun des projets que nous recommandons.
None Visit Crowdin
You're viewing the None copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!