Le système d'exploitation Tails, qui a notamment servi à Edward Snowden pour organiser la fuite de données sensibles en provenance de la NSA, est indirectement touché par une faille de sécurité. En effet, la vulnérabilité touche spécifiquement I2P, un réseau anonymisant qu'utilise Tails.

Tails a beau faire de la sécurité l'un de ses chevaux de bataille, en plus de la défense de la vie privée et de la préservation de l'anonymat, le système d'exploitation n'est pas immunisé contre les vulnérabilités qui peuvent apparaître lors de son développement ou accompagner les logiciels équipant l'O.S. La page consacrée à la sécurité de la plateforme montre d'ailleurs que les corrections de faille sont régulières.

Cela s'est vu récemment avec TrueCrypt, un logiciel de chiffrement de disque qui n'est aujourd'hui plus considéré comme sûr. Face aux doutes entourant l'intégrité du programme, les responsables du projet Tails ont annoncé leur intention de le remplacer par une solution alternative. Trois propositions ont alors été avancées : Tc-play, Cryptsetup et Zulucrypt.

Une faille dans I2P qui affecte Tails

Cela se voit aujourd'hui avec une brèche découverte par la société Exodus Intelligence. Sur son blog, elle explique que "la vulnérabilité que nous allons dévoiler est spécifique à I2P. I2P compte actuellement environ 30.000 pairs actifs. Depuis que I2P a été ajouté à Tails à partir de la version 0.7, Tails est de loin le moteur le plus important de l'adoption de I2P".

Bien que le site de Tails indique que "I2P n'est pas activé par défaut dans Tails", l'entreprise assure que la vulnérabilité I2P est accessible depuis la version de base de Tails, même pleinement patchée. Aucun réglage ni aucune configuration particulière n'a besoin d'être changé pour l'exploiter. "I2P est pré-configuré de telle sorte que tous les sites utilisant le domaine .i2p soient routés via le réseau I2P".

Dans un tweet, Exodus Intelligence a moqué la sortie d'une nouvelle version de Tails (estampillée 1.1), en indiquant que ses méthodes pour casser l'anonymat via Tails sont toujours valides. Cependant, si la faille se trouve effectivement dans I2P, qui est un réseau anonymisant similaire à TOR, la marge de manoeuvre des responsables de Tails est limitée, puisqu'ils ne développent pas I2P.

Problèmes de communication

Mais comme l'a relevé The Verge, ces derniers n'ont manifestement pas été contactés par Exodus Intelligence avant que le groupe ne publie son tweet pointant le fait que Tails 1.1 ne règle pas la brèche. Dans ces conditions, impossible pour les responsables de Tails d'entreprendre quoi que ce soit pour assurer la sécurité de leurs usagers.

D'autant que Tails "est basé sur Debian" et que, par conséquent, les avancées viennent d'abord de "l'équipe sécurité de Debian".

Cela étant, Exodus a informé Tails que des informations complémentaires seront fournies dans une semaine et que le détail des failles ne sera pas publié tant qu'elles n'auront pas été colmatées et que les usagers n'auront pas eu l'opportunité de mettre leur O.S. à niveau "Nous pensons que c'est la bonne façon pour révéler des failles de façon responsable", a salué Tails.

Tails connaît une certaine médiatisation depuis la mi-2013, dans la mesure où c'est ce système d'exploitation qu'ont utilisé Edward Snowden et ses contacts dans les médias pour établir leurs premiers liens puis préparer ensuite la publication des documents confidentiels sur les programmes de surveillance de masse employés par les États-Unis.

Partager sur les réseaux sociaux

Articles liés