Qubes Linux est l'une des distributions Linux les plus sécurisées grâce à son isolation unique des tâches pour protéger les données. Cependant, elle peut ne pas convenir à tous. Sa configuration matérielle élevée, sa configuration complexe et son expérience utilisateur complexe peuvent en faire un choix difficile si vous recherchez une distribution facile à utiliser ou si vous manquez d'expertise technique. Dans cet article, nous examinons les principales raisons pour lesquelles vous pourriez reconsidérer l'installation de Qubes sur votre appareil afin de déterminer si c'est le bon choix ou si vous devriez envisager une distribution plus simple.
Choisir une nouvelle distribution peut être complexe, et installer une distribution complexe peut être stressant. Si dépenser des sommes importantes dans du matériel inadapté ou se plonger dans le jargon technique vous semble insurmontable, Qubes n'est peut-être pas fait pour vous.
Choisir des appareils électroménagers, c'est comme arracher des dents.
Le premier obstacle à surmonter est le choix du matériel. Les Qubes s'appuient sur des technologies spécifiques : VT-x, VT-D, IOMMU et SLAT. Ces technologies sont courantes dans les ordinateurs modernes, mais elles sont difficiles à concilier avec d'autres exigences, comme les clusters IOMMU (dont je parlerai plus tard) et le coût.
En parlant de prix, tout le monde ne dépensera pas des milliers de dollars pour un ordinateur portable, et plus vos besoins sont spécifiques, plus le prix sera élevé. Cependant, il est facile de trouver des appareils abordables si l'achat d'occasion ne vous dérange pas.
Les groupes de l’IOMMU sont difficiles et sans papiers.
L'IOMMU est une technologie qui permet aux Qubes de mapper directement des périphériques PCI à une machine virtuelle (VM). En termes simples, il s'agit d'une frontière virtuelle autour des périphériques. Par exemple, vous pouvez mapper directement une carte réseau à une machine virtuelle, permettant une interaction directe entre les deux périphériques et assurant une isolation sécurisée. Cependant, il existe une limitation importante : les clusters IOMMU.
Un groupe IOMMU est un ensemble de périphériques PCI regroupés. Le système d'exploitation traite le groupe IOMMU comme une seule unité. Les périphériques du groupe IOMMU doivent être assignés au même périphérique par défaut. Le problème est que chaque carte mère les regroupe différemment.
Le problème est que les fabricants de cartes mères ne documentent pas la configuration de ces groupes. Impossible de savoir à quoi ils ressembleront à l'avance, ce qui complique considérablement la sélection des périphériques. Un problème fréquent est la difficulté d'assigner des groupes ; par exemple, des ports USB et une carte réseau partagent le même groupe. Qubes le reconnaît et propose une option d'installation permettant d'assigner des ports USB et des cartes réseau à la même machine virtuelle si nécessaire.
Heureusement, La liste de compatibilité matérielle de Qubes est complète, Quelques notes sont fournies sur ce à quoi s'attendre avant d'acheter les appareils.
La mémoire est toujours limitée.
En général, vous utiliserez 2 à 4 volumes virtuels (VM) pour différentes tâches : une clé USB, un lecteur réseau (NetVM), un lecteur pare-feu et éventuellement un lecteur VPN, chacun nécessitant un demi-gigaoctet de RAM. Ajoutez quelques navigateurs et une ou deux applications, et vous verrez facilement votre utilisation de RAM dépasser 16 Go. La plupart des ordinateurs portables plus anciens prennent en charge moins de 16 Go ; vous devrez donc peut-être arrêter et redémarrer des VM pour gérer la mémoire.
Je recommande au moins 16 Go de RAM, mais 32 Go si possible ; 64 Go ou plus si vous pouvez vous le permettre. La RAM est chère en grande quantité, et 32 Go vous coûteront quelques centaines de dollars, ce qui est plus que ce que la plupart des gens sont prêts à payer. Cependant, compte tenu de la forte demande de mémoire des ordinateurs actuels, il est temps que XNUMX Go de RAM deviennent la norme.
Les claviers USB deviennent un risque de sécurité
Pour des raisons de sécurité, les claviers USB doivent être connectés à un hub USB, qui ne peut pas communiquer avec dom0. dom0 est la machine virtuelle de gestion qui contrôle toutes les autres machines virtuelles. Vous protégez dom0 au péril de votre vie ; rien ne doit communiquer avec lui, y compris le hub USB.
Alors, que faire ? Utiliser un clavier PS/2 ! Cependant, ce n'est pas le cas de tous. Dans ce cas, un clavier USB dédié avec haut-parleur fonctionnera avec la plupart des AppVM (machines virtuelles exécutant des applications courantes), mais pas avec dom0, et c'est un problème majeur. Le casse-tête qui en résulte est extrêmement pénible. Certains, frustrés, pourraient connecter leur clavier USB directement à dom0, mais c'est strictement interdit, car un clavier compromis pourrait l'attaquer.
Pour compliquer encore les choses, certains claviers d'ordinateurs portables utilisent une connexion USB interne, ce qui peut entraîner, au mieux, une panne matérielle, au pire un risque de sécurité. Si vous avez des inquiétudes ou des doutes quant aux performances de votre ordinateur portable, consultez la liste de compatibilité matérielle pour plus d'informations.
L’absence de prise en charge du GPU limite vos options.
À partir de 2025, les machines virtuelles sur Qubes ne bénéficieront plus de l'accélération GPU. La raison ? Les GPU n'isolent pas correctement le contenu de la RAM vidéo (entre les machines virtuelles et le DOM0). Bien que cela soit peu probable, il est possible que les machines virtuelles lisent des informations sensibles du DOM0.
De plus, vous ne pouvez affecter un GPU qu'à un seul appareil. Alors, lequel choisir ? Tous vos navigateurs, de même que de nombreuses applications, utilitaires et composants, nécessitent une accélération GPU. Les ordinateurs actuels gèrent également de plus en plus de tâches d'IA, comme l'installation et l'exécution de chatbots à domicile avec Ollama. L'absence d'accélération GPU rend Qubes inefficace pour la plupart des utilisateurs.
Du côté positif, l'équipe Qubes a commencé à travailler sur l'implémentation de l'accélération GPU virtuelle via une technologie appelée « contextes natifs VirtIO », qui répartit l'accélération GPU sur toutes les machines virtuelles, avec des performances quasi natives. Je prévois que l'accélération GPU sera disponible vers 2027 (ou 2037 ; vous savez comment ça se passe).
La durée de vie de la batterie est nulle
En raison de l'absence d'accélération GPU, Qubes gère tout par logiciel. Le traitement logiciel est inefficace et consomme la batterie plus rapidement qu'un GPU plus performant.
Plusieurs machines virtuelles fonctionnent simultanément, chacune exécutant un ensemble d'opérations dupliqué, ce qui entraîne une surcharge. Chacune de ces opérations consomme un temps processeur et une batterie précieux.
Je ne sais pas si vous l'avez déjà remarqué, mais les postes de travail comme Alacritty consomment souvent entre 1 et 2 % de votre CPU lorsqu'ils sont inactifs. Ouvrir un poste de travail dans plusieurs machines virtuelles signifie que toutes ces machines consomment de l'énergie. Les outils de surveillance système aggravent le problème en se mettant à jour fréquemment. Ajoutez à cela des navigateurs et des sites web peu performants et gourmands en ressources, et je constate souvent que mon CPU est bridé à 20 ou 50 % lorsque je ne fais rien du tout. Repérer les processus gourmands en ressources est un rituel pour moi sous Linux standard, et vous pouvez vous attendre à cinq fois plus d'efforts avec Qubes.
En bref, les machines virtuelles consomment beaucoup d’énergie et ont un impact négatif sur la durée de vie de la batterie.
Courbe d'apprentissage difficile : nécessite des connaissances techniques
Apprendre Qubes implique de comprendre ses différents composants, tels que les AppVM, les TemplateVM, les DispVM, les modèles DispVM, les dom0 et les domU. Il est important de comprendre le fonctionnement et les interactions de ces composants (étendues). Chaque étendue a un cas d'utilisation clair ; par exemple, vous pouvez appliquer des mises à jour et des modifications de configuration aux modèles. Ne pas comprendre l'interaction entre les étendues peut vous empêcher de comprendre pourquoi vos configurations disparaissent ou pourquoi une mise à jour ne prend pas effet.
De plus, le système RPC contrôle la communication entre les domaines. Il s'agit d'un système basique, mais les utilisateurs moins expérimentés ne comprendront pas comment le configurer et l'utiliser.
La courbe d'apprentissage complexe comprend également tout ce qui a été évoqué précédemment. Sans connaissances sur l'IOMMU, le matériel requis, etc., vous prendrez une mauvaise décision. Apprendre tout en amont est trop difficile pour la plupart des gens. Qubes requiert des connaissances techniques spécialisées.
J'adore Qubes ; je l'utilise depuis près de dix ans, mais ce n'est pas pour tout le monde. Certains recherchent un système d'exploitation simple.
Qubes convient à deux types de personnes :
- Ceux qui ont beaucoup à perdre.
- Des passionnés de technologie qui se soucient de leur sécurité.
Tous les passionnés de technologie ne souhaitent pas apprendre un système aussi complexe, mais pour d'autres, son attrait est très fort. Si vous ressentez cet attrait, Consultez le guide d'installation de Qubes.Sinon, Recherchez donc une autre distribution adaptée.
Choisir la distribution qui vous convient le mieux dépend de l'équilibre entre sécurité et simplicité d'utilisation. Si Qubes vous semble trop complexe ou nécessite plus de ressources que votre système, une distribution plus simple peut être un meilleur choix. Partagez votre expérience ou vos questions sur Qubes ou toute autre distribution que vous envisagez d'utiliser dans les commentaires.
