La distribution Tails Linux, axée sur la sécurité, contiendrait plusieurs failles de sécurité 0-day qui exposeraient les données de l’utilisateur. Un vrai problème pour le chercheur Loc Nguyen, qui a fait la découverte, puisque ce système se veut justement nettement plus sécurisé que la moyenne.

Des failles critiques dans une distribution spécialisée dans la sécurité
Anonymat et confidentialité : tels sont les deux maitres mots qui gouvernent le développement de la distribution Tails. Basée sur Debian, elle fonctionne idéalement depuis une clé USB ou un DVD de type « live », qui peut donc démarrer depuis n’importe quelle machine. L’orientation de la distribution est simple : ne laisser aucune trace sur ladite machine, à moins que l’utilisateur l’ait expressément demandé.
Tails se sert d’un nombre important de composants pour rendre anonymes autant que possible les échanges d’informations. La distribution est disponible en version 1.1 depuis deux jours seulement et ses utilisateurs sont de fait des habitués de Tor, l’un des éléments clés de l’ensemble. La distribution n’était pas nécessairement très connue du grand public, mais il existe une attraction beaucoup plus forte depuis moins d’un an. Une visibilité née dans le sillage de l’affaire Snowden : quand un article de The Guardian l’a conseillée pour laisser le moins de traces possible, puis quand le site allemand Tagesschau a indiqué que la NSA marquait comme « suspects » tous ceux qui se renseignaient sur elle et Tor en se rendant sur les sites officiels.
Entre en piste la société Exodus Intelligence. L’un des chercheurs, Loc Nguyen, a averti The Register que Tails contenait un nombre indéterminé de failles critiques et de type 0-day. En d’autres termes, ces failles sont déjà exploitées, ou sont exploitables n'importe quand. Il explique qu’Exodus a été « très impressionné » par le travail réalisé par les développeurs de Tails. Mais dans son efficacité résiderait une faiblesse intrinsèque : le nombre de composants qui communiquent entre eux est tellement élevé que toutes les interactions n’ont pas été soigneusement vérifiées.
Une entreprise chercheuse de failles 0-day
Pourquoi le dire maintenant ? C’est là que les choses se corsent. Car Exodus Intelligence n’est pas une entreprise comme les autres : elle opère dans le monde du renseignement, comme son nom l’indique. Or, l’entreprise révèle que Tails comporte des failles 0-day… pour mieux indiquer qu’elle les avait découvertes et qu’elles étaient « toujours efficaces », même avec l’arrivée de la mouture 1.1 il y a deux jours.
We're happy to see that TAILS 1.1 is being released tomorrow. Our multiple RCE/de-anonymization zero-days are still effective. #tails #tor
— Exodus Intelligence (@ExodusIntel) 21 Juillet 2014
Exodus Intelligence est spécialisée dans la traque de ce genre de faille, son activité commerciale consistant à les revendre ensuite à ses clients. Parmi ces derniers se trouvent le département américain de la Défense ou encore la DARPA (Defense Advanced Research Projects Agency). Cependant, comme précisé à The Register également, l’entreprise n’a pas donné les failles de Tails à ses clients. Elle a en effet décidé de travailler directement avec l’équipe de la distribution.
« aucune solution ne peut garantir un anonymat en ligne »
Mais alors pourquoi revendiquer la possession de ces informations cruciales si ce n’est pas pour faire fructifier ses découvertes ? Selon Loc Nguyen, il ne s’agit pas d’une question d’image, mais d’avertissement : « Nous avons annoncé le fait que nous avions la capacité de diffuser le message à la communauté qu’aucune solution ne peut garantir un anonymat en ligne ».
Même si les choses devraient donc s’arranger pour Tails, dont la sécurité devrait grimper en conséquence, le message d’Exodus rejoint trait pour trait les avertissements lancés par l’expert Andy Malone, qui expliquait déjà en mai que même si la sécurité globale du réseau Tor n’avait pas été brisée, il existait des failles de sécurité qui pouvaient provoquer des fuites d’informations. Pour lui, résumer la situation était très simple : « L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».
L'équipe de Tails satisfaite de l'attitude d'Exodus
Quant à l’équipe de Tails, elle a réagi elle aussi. Dans un billet publié hier après-midi, elle indique qu’elle avait rédigé une première réponse quand elle avait vu le tweet publié par Exodus, car l’entreprise ne les avait pas contactés. Mais Exodus a bien pris contact et a fait deux promesses : que tous les détails seraient fournis dans la semaine qui suivrait, et qu’ils ne seraient donnés à aucun autre tiers.
L’équipe annonce être satisfaite de l’attitude d’Exodus, même si l’on se doute qu’elle attend les informations réelles pour être soulagée. Après quoi il lui faudra travailler très rapidement pour s’assurer que les brèches seront colmatées au plus vite, sans parler de la diffusion des correctifs chez les utilisateurs. Ceux qui utilisent des DVD devront impérativement graver la nouvelle version. L’équipe indique par ailleurs que de gros travaux de renforcement de la sécurité sont en cours, notamment une intégration très poussée d’AppArmor, une meilleure sécurisation du noyau et de la navigation web, ou encore l’utilisation plus intensive du sandboxing (isolation de processus dans des compartiments mémoire isolés).