Tails : Des chercheurs démontrent que l’OS est vulnérable !
Tails est un système d’exploitation basé sur Linux qui a pour but de préserver votre anonymat et la confidentialité de vos informations. Cependant, des chercheurs à Exodus Intelligence ont découverts plusieurs failles Zero-Day contenues dans la distribution.
Autrement dit, une distribution Linux spécialisée dans la sécurité contiendrait des failles, ce qui permettrait de retirer l’anonymat de l’utilisateur. Quant à la société Exodus Intelligence, elle est spécialisée dans la recherche de failles Zero-Day l’objectif étant ensuite de revendre les trouvailles à ses clients.
Les chercheurs ont publiés des détails et une vidéo qui montre une démonstration de l’exploit sur la distribution Tails. Une vulnérabilité peut être exploitée pour envoyer du code malicieux sur une machine Tails, pour ensuite exécuter le payload à distance et retirer l’anonymat afin d’obtenir l’adresse IP publique de l’utilisateur Tails.
Tails utilise la solution « Tor » qui est un réseau dont un des objectifs est de préserver son anonymat sur internet notamment en masquant votre adresse IP publique, puisque, vous allez sortir d’un réseau Tor « quelque part dans le monde » donc utiliser une adresse IP publique qui ne sera pas la vôtre.
Cependant, le problème ne se situe pas avec Tor d’après Exodus, mais plutôt au niveau du programme « Invisible Internet Project » (I2P) qui est un réseau anonyme permettant de sécuriser les échanges des applications entres-elles. D’ailleurs avec lui, le destinataire d’un message n’est pas désigné par une adresse IP mais par une clé cryptographique, et, la communication est chiffrée d'extrémité à extrémité avec quatre couches de chiffrage utilisées pour un seul message envoyé.
Malgré tout, l’un des chercheurs, Loc Nguyen, a expliqué que la société Exodus a été « très impressionnée » par le travail réalisé par les développeurs de la distribution Tails. Dans cette efficacité, un point négatif et critique est à mettre en évidence : Il y a tellement de composants différents qui communiquent entre eux que toutes les interactions entre ces composants n’ont pas été toutes soigneusement vérifiées.
Il y a deux jours, la version 1.1 de Tails est sortie sauf que les failles sont « toujours efficaces » malgré cette nouvelle version comme l’a annoncé la société Exodus Intelligence sur son compte Twitter :
Loc Nguyen précise également qu’aucune solution ne peut garantir l’anonymat sur Internet : « Nous avons annoncé le fait que nous avions la capacité de diffuser le message à la communauté qu’aucune solution ne peut garantir un anonymat en ligne ».
De son côté, la société Exodus Intelligence a promis à Tails que tous les détails seraient fournis dans la semaine qui suit et que ces informations ne seront pas transmises à un tiers. Les développeurs de Tails devront ensuite s’activer pour combler les brèches mises en évidence au sein de leur distribution.