Même si nous faisons tout notre possible pour vous offrir des outils protégeant votre vie privée lorsque vous utilisez un ordinateur, il n'y a pas de solution magique, ni parfaite d'ailleurs, à un problème aussi complexe. Comprendre les limites de ces outils est crucial, premièrement pour savoir si Tails est bien la boîte à outils adaptée à vos besoins, deuxièmement, pour vous permettre de bien vous en servir.

Tails n'est d'aucune protection si le matériel est compromis

Si l'ordinateur a été compromis par une personne y ayant eu accès physiquement et y ayant installé du matériel compromis (comme un enregistreur de frappe), il peut être dangereux d'utiliser Tails.

Tails peut-être compromis s'il est installé ou branché à un système malicieux

Quand vous démarrez votre ordinateur avec Tails, il ne peut pas être compromis par un virus infectant votre système d'exploitation habituel, mais :

  • Tails devrait être installé depuis un système de confiance. Sinon, il pourrait être corrompu durant l'installation.

  • Brancher votre clé USB Tails à un système d'exploitation malicieux pourrait corrompre votre installation de Tails et désactiver les protections qu'il fournit. Utilisez votre clé USB Tails uniquement pour démarrer Tails.

Voir la FAQ à ce propos.

Tails ne protège pas des attaques contre le BIOS ou les micrologiciels

Tails ne vous protège pas non plus des attaques menées via le BIOS ou un autre micrologiciel intégrés à l'ordinateur. Ils ne sont pas gérés ou fournis directement par le système d'exploitation et aucun système d'exploitation ne peut vous protéger contre de telles attaques.

Voir par exemple cette attaque du BIOS par LegbaCore (en anglais).

Les nœuds de sortie Tor peuvent jeter un œil à vos communications

Tor empêche de savoir où vous êtes, mais ne chiffre pas vos communications.

Au lieu de prendre un chemin direct de la source à la destination, les communications qui passent par le réseau Tor prennent un chemin aléatoire à travers les divers relais Tor, ce qui brouille les pistes. Ainsi, aucune personne placée à un seul point du réseau n'est en mesure de dire d'où viennent les données et où elles vont.

Une connexion via Tor passe normalement par trois relais, le dernier se connectant avec la destination désirée

Le dernier relais sur ce circuit, appelé nœud de sortie, est celui qui établit la connexion au serveur de la destination. Comme Tor ne chiffre pas, et ne peut pas le faire de toute façon, ce qui transite entre le nœud de sortie et le serveur de la destination, tout nœud de sortie a la possibilité de capturer le trafic qui passe par lui. Voir Tor FAQ : Quand j’utilise Tor, les systèmes d’écoute peuvent-ils encore voir les renseignements que je partage avec les sites Web, tels que les renseignements de connexion, et ce que je tape dans les formulaires ?.

Par exemple, en 2007, un chercheur en sécurité informatique a intercepté des milliers d'e-mails privés envoyés par des ambassades étrangères et des ONG à travers le monde en écoutant le trafic sortant du nœud de sortie qu'il faisait fonctionner. Voir Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (en anglais).

Pour vous protéger de telles attaques, vous devez utiliser un chiffrement de bout en bout.

Tails comprend de nombreux outils qui servent à utiliser un chiffrement robuste pendant la navigation, en envoyant des courriers électroniques, en tchattant, comme indiqué dans notre page à propos.

Tails ne cache absolument pas le fait que vous utilisez Tor et probablement Tails

Votre fournisseur d'accès à Internet (FAI) ou la personne administrant votre réseau local peut voir que vous vous connectez à un relai Tor, et pas à un serveur web normal par exemple. Utiliser des bridges Tor dans certains cas peut vous aider à cacher le fait que vous utilisez Tails.

Le serveur de destination auquel vous vous connectez via Tor peut savoir si vos communications viennent d'un nœud de sortie Tor en consultant la liste publique des nœuds de sortie Tor qui peuvent le contacter. Par exemple en utilisant la Tor Bulk Exit List du projet Tor.

Du coup, utiliser Tails fait que vous ne ressemblez pas à une personne lambda utilisant Internet. L'anonymat fournie par Tor et Tails marche en essayant de mettre toutes les personnes l'utilisant dans le même panier, pour ne pas pouvoir les différencier les unes des autres.

Voir également Est-ce que je peux cacher le fait que j'utilise Tails ?

Attaques de l'homme-du-milieu

Une attaque de l'homme-du-milieu (HdM) est une forme d'écoute active dans laquelle l'attaquant se connecte de manière indépendante avec les victimes et relaie le trafic entre elles, leur faisant ainsi croire qu'elles communiquent effectivement via une connexion privée, alors que tout passe, et peut être contrôlé, par l'attaquant.

En utilisant Tor, une attaque de l'homme-du-milieu peut toujours arriver entre le nœud de sortie et le serveur destinataire. Le nœud de sortie peut également agir comme un homme-du-milieu. Pour l'exemple d'une telle attaque voir (en anglais) MW-Blog: TOR exit-node doing MITM attacks.

Encore une fois, pour vous protéger de telles attaques, vous devez utiliser un chiffrement de bout en bout et également vérifier avec beaucoup de soin l'authenticité des serveurs.

D'habitude, cette vérification de certificat SSL est automatiquement faite par votre navigateur en le comparant à une liste donnée d'autorités de certification reconnues. Si vous obtenez un message concernant une exception de sécurité comme celle-ci, vous pouvez être victime d'une attaque de l'homme-du-milieu et devriez faire machine arrière, sauf si vous connaissez un autre moyen sûr d'obtenir, par les personnes qui font tourner le service auquel vous voulez accéder, l'empreinte du certificat pour pouvoir la vérifier.

Cette connexion n'est pas certifiée

Mais en plus, le modèle d'autorités de certification sur internet est susceptible d'être compromis par des méthodes variées.

Par exemple, le 15 Mars 2011, Comodo, une entreprise délivrant des certificats SSL parmi les plus importantes, annonça qu'un compte permettant de fabriquer des certificats avait été piraté. Il fût utilisé pour générer neuf certificats pour sept noms de domaines : mail.google.com, login.live.com, www.google.com, login.yahoo.com (3 certificats), login.skype.com, addons.mozilla.org, et global trustee. Voir (en anglais) Comodo: The Recent RA Compromise.

Plus tard en 2011, DigiNotar, une entreprise allemande qui délivre des certificats SSL, a malencontreusement distribué des certificats à des personnes mal intentionnées. On s'est ensuite aperçu qu'ils étaient apparemment corrompus depuis mai 2009 (si ce n'est plus tôt). De faux certificats ont servis pour des domaines comme google.com, mozilla.org, torproject.org, login.yahoo.com et d'autres encore. Voir (en anglais) The Tor Project: The DigiNotar Debacle, and what you should do about it.

Cela n'empêche pas une attaque du type homme-du-milieu quand bien même votre navigateur fait confiance à une connexion HTTPS.

D'un côté, en procurant l'anonymat, Tor rend compliqué une attaque du type homme-du-milieu qui vise une personne en particulier, grâce à un certificat SSL corrompu. Mais d'un autre côté, Tor rend plus facile pour des personnes ou des organisations qui font tourner des nœuds de sortie d'effectuer des attaques de ce type à grande échelle, ou des attaques qui ciblent un serveur spécifique, et par là les personnes utilisant Tor en particulier.

Sources Wikipedia: Attaque de l'homme du milieu, Wikipedia: Comodo Group#Certificate hacking et Tor Project: Detecting Certificate Authority compromises and web browser collusion.

Attaques par corrélation

Tor est conçu pour des communications avec de faibles latences : pour une requête, le temps d'aller de votre ordinateur au serveur destinataire et revenir est en général de moins d'une seconde. Ce type de faible latence rend l'utilisation de Tor possible pour la navigation internet et la messagerie instantanée.

Comme conséquence de cette conception à faible latence pour Tor, un attaquant peut en théorie corréler le temps et la forme du trafic entrant et sortant du réseau Tor pour désanonymiser les utilisateurs de Tor. De telles attaques sont appelées attaques de corrélation de bout-en-bout, car elles requièrent d'observer à la fois les deux bouts du circuit Tor en même temps.

Par exemple, un FAI et un site web peuvent potentiellement collaborer pour désanonymiser un utilisateur Tor en observant une même forme particulière de trafic entrer dans le réseau Tor, et ensuite arriver sur le site web peu de temps après.

Les attaques de corrélations de bout-en-bout ont été étudiées dans beaucoup d'articles de recherche mais nous ne sommes au courant d'aucune utilisation actuelle pour désanonymiser les utilisateurs de Tor. Par le passé, les agences chargées de faire respecter la loi ont préféré exploiter les vulnérabilités dans le Navigateur Tor et dans Tails pour désanonymiser les utilisateurs plutôt que de de réaliser des attaques de corrélation de bout-en-bout.

Tails protège mieux que le Navigateur Tor de telles vulnérabilités logicielles mais ne protège pas mieux des attaques de corrélation de bout-en-bout.

Voir aussi :

Tails ne chiffre pas vos documents par défaut

Les documents que vous pouvez sauvegarder sur des volumes de stockage ne seront pas chiffrés par défaut, sauf si vous utilisez le stockage persistant, qui est entièrement chiffré. Mais Tails fournit des outils permettant le chiffrement de vos documents, comme GnuPG, ou bien des outils permettant le chiffrement de vos périphériques de stockage, comme LUKS.

Il est probable que les fichiers que vous créerez ainsi gardent des traces indiquant qu'ils furent créés en utilisant Tails.

Si vous voulez avoir accès au disque dur local de l'ordinateur que vous utilisez, ayez conscience que vous pouvez laisser des traces de vos activités avec Tails sur celui-ci.

Tails ne supprime pas les méta-données de vos documents pour vous et ne chiffre pas le Sujet : ainsi que les autres en-têtes de vos mails chiffrés

De nombreux formats de fichiers conservent des données cachées ou des métadonnées dans les fichiers. Les traitements de texte ou les fichier PDF peuvent contenir le nom de l'auteur, la date et l'heure de création du fichier, et parfois une partie de l'historique d'édition du fichier, cela dépend du format de fichier et du logiciel utilisé.

Veuillez également noter que le Sujet : de même que le reste des en-têtes de vos messages électroniques chiffrés avec OpenPGP ne sont quant à eux pas chiffrés. Ce n'est pas un bug de Tails ou du protocole OpenPGP ; c'est une question de rétrocompatibilité avec le protocole SMTP. Malheureusement aucun standard RFC n'existe à l'heure actuelle pour le chiffrement des sujets.

Les formats d'images comme TIFF ou JPEG remportent sans doute la palme en matière de données cachées. Ces fichiers, créés par des appareils photos numériques ou des téléphones portables, contiennent des méta-données au format EXIF, qui peuvent contenir la date, l'heure, voir les données GPS du lieu de la prise de l'image, la marque, le numéro de série de l'appareil ainsi qu'une image en taille réduite de l'image originale. Des logiciels de traitement d'image tendent à conserver intactes ces données. Internet est plein de ces images floutées dont le fichier EXIF contient toujours l'image avant floutage.

Tails ne supprime pas les meta-données des fichiers pour vous. Mais c'est dans son intention de vous aider à le faire. Par exemple Tails inclus déjà le Metadata anonymisation toolkit, un outil de manipulation des méta-données.

Chaque session Tails ne doit correspondre qu'à un seul usage

Par exemple, n'utilisez pas la même session pour regarder vos emails professionnels ET publié anonymement un document. A moins que vous soyez d'accord avec le fait qu'un antagoniste soit capable de mettre en corrélation ces tâches.

Un antagoniste pourrait mettre en corrélation plusieurs tâches réalisées dans une même session Tails en :

  • Analysant vos circuits Tor

    Tails et le Navigateur Tor se connectent naturellement à différents sites internet par le biais de différents circuits dans le réseau Tor. Mais si vous vous connectez au même site plusieurs fois au cours de la même session, par exemple si vous vous connectez au même réseau social avec deux comptes différents, Tails et le Navigateur Tor utiliseront le même circuit. Ce site internet pourra ensuite lier ces activités en remarquant qu'elles émanent du même circuit Tor.

    Pour s'assurer que vous utilisez de nouveaux circuits Tor pour le trafic Internet :

    • Si vous utilisez seulement le Navigateur Tor pour vous connecter à Internet, vous pouvez cliquer sur son bouton Nouvelle Identité pour créer un nouveau circuit.
    • Si vous utilisez plusieurs applications, vous pouvez redémarrer Tails.

    Pour plus d'informations sur comment Tor préserve ou non l'anonymat, voir les Pages d'assistance du Projet Tor.

  • Parvenant à accéder à votre Stockage Persistant

    Vous pouvez empêcher que les informations de votre Stockage Persistant soit liées à d'autres activités en jonglant entre plusieurs clés USB qui fonctionnent sous Tails. De cette manière, le Stockage Persistant de votre boite mail militante dans Thunderbird peut être maintenu séparé de l'usage que vous avez de Tails pour votre travail.

    We also recommend this step if you worry about someone gaining physical access to your computer or USB sticks. This is particularly a concern if you have to use Tails on an insecure or public computer, because Tails can't protect against compromised hardware.

Tails ne renforce aucunement la faiblesse de vos mots de passe

Tor vous permet d'être anonyme sur internet ; Tails vous permet de ne laisser aucune trace sur l'ordinateur que vous utilisez. Mais encore une fois, aucun des deux n'est la solution magique au problème de la sécurité informatique.

Si vous utilisez des mots de passe faibles, ils peuvent être devinés par des attaques de type force-brute, que vous utilisiez Tails ou pas. Pour savoir si vos mots de passe sont faible et apprendre comment en créer de meilleurs, vous pouvez lire Wikipédia : Robustesse d'un mot de passe.

Tails est toujours en construction

Tails, de même que tous les logiciels qu'il contient, est continuellement en développement et peut contenir des erreurs de programmation ou des trous de sécurité.