Tails a beau faire de la sécurité l'un de ses chevaux de bataille, en plus de la défense de la vie privée et de la préservation de l'anonymat, le système d'exploitation n'est pas immunisé contre les vulnérabilités qui peuvent apparaître lors de son développement ou accompagner les logiciels équipant l'O.S. La page consacrée à la sécurité de la plateforme montre d'ailleurs que les corrections de faille sont régulières.
Cela s'est vu récemment avec TrueCrypt, un logiciel de chiffrement de disque qui n'est aujourd'hui plus considéré comme sûr. Face aux doutes entourant l'intégrité du programme, les responsables du projet Tails ont annoncé leur intention de le remplacer par une solution alternative. Trois propositions ont alors été avancées : Tc-play, Cryptsetup et Zulucrypt.
Une faille dans I2P qui affecte Tails
Cela se voit aujourd'hui avec une brèche découverte par la société Exodus Intelligence. Sur son blog, elle explique que "la vulnérabilité que nous allons dévoiler est spécifique à I2P. I2P compte actuellement environ 30.000 pairs actifs. Depuis que I2P a été ajouté à Tails à partir de la version 0.7, Tails est de loin le moteur le plus important de l'adoption de I2P".
Bien que le site de Tails indique que "I2P n'est pas activé par défaut dans Tails", l'entreprise assure que la vulnérabilité I2P est accessible depuis la version de base de Tails, même pleinement patchée. Aucun réglage ni aucune configuration particulière n'a besoin d'être changé pour l'exploiter. "I2P est pré-configuré de telle sorte que tous les sites utilisant le domaine .i2p soient routés via le réseau I2P".
Dans un tweet, Exodus Intelligence a moqué la sortie d'une nouvelle version de Tails (estampillée 1.1), en indiquant que ses méthodes pour casser l'anonymat via Tails sont toujours valides. Cependant, si la faille se trouve effectivement dans I2P, qui est un réseau anonymisant similaire à TOR, la marge de manoeuvre des responsables de Tails est limitée, puisqu'ils ne développent pas I2P.
Problèmes de communication
Mais comme l'a relevé The Verge, ces derniers n'ont manifestement pas été contactés par Exodus Intelligence avant que le groupe ne publie son tweet pointant le fait que Tails 1.1 ne règle pas la brèche. Dans ces conditions, impossible pour les responsables de Tails d'entreprendre quoi que ce soit pour assurer la sécurité de leurs usagers.
D'autant que Tails "est basé sur Debian" et que, par conséquent, les avancées viennent d'abord de "l'équipe sécurité de Debian".
Cela étant, Exodus a informé Tails que des informations complémentaires seront fournies dans une semaine et que le détail des failles ne sera pas publié tant qu'elles n'auront pas été colmatées et que les usagers n'auront pas eu l'opportunité de mettre leur O.S. à niveau "Nous pensons que c'est la bonne façon pour révéler des failles de façon responsable", a salué Tails.
Tails connaît une certaine médiatisation depuis la mi-2013, dans la mesure où c'est ce système d'exploitation qu'ont utilisé Edward Snowden et ses contacts dans les médias pour établir leurs premiers liens puis préparer ensuite la publication des documents confidentiels sur les programmes de surveillance de masse employés par les États-Unis.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !