Vous pouvez aider Tails ! La fonctionnalité d'usurpation d'adresse MAC est prête à être testée. Cette fonctionnalité empêche le pistage géographique de vos périphériques réseau (et par extension, de vous) en rendant aléatoire leurs adresses MAC.

Si vous avez des compétences en audit de sécurité, vous êtes plus que bienvenue pour passer en revue notre design et notre implémentation.

  1. Contexte
  2. Comment télécharger l'image de test
  3. Comment utiliser l'usurpation d'adresse MAC dans Tails
  4. Que tester
    1. Vérifier que la configuration d'usurpation d'adresse MAC est bien appliquée
    2. MAC address allowlisting problems
    3. Problèmes réseau
  5. Problèmes connus
    1. Pas de protection pour les périphériques branchés à chaud après connexion

Contexte

Chaque périphérique réseau (filaire, Wi-Fi/sans-fil, 3G/mobile) possède une adresse MAC, qui est un identifiant unique utilisé pour s'y adresser sur le réseau local. Diffuser ainsi un identifiant unique introduit un certain nombre de soucis potentiels de vie privée pour les utilisateurs de Tails. La géolocalisation en est le principal : observer une adresse MAC à un endroit et un moment donné lie le périphérique correspondant à ces mêmes lieu et moment. Si l'identité réelle du propriétaire du périphérique est connue, leurs mouvements peuvent êtres déterminés. Afin d'empêcher cela, il est possible de temporairement changer l'adresse MAC de manière aléatoire à chaque démarrage, ce qui est appelé "usurpation d'adresse MAC".

Comment télécharger l'image de test

Téléchargez la dernière ISO de test depuis build_Tails_ISO_devel.Gardez à l'esprit que c'est une image de test. Ne l'utilisez pas pour quoi que ce soit d'autre que pour tester cette fonctionnalité.

Comment utiliser l'usurpation d'adresse MAC dans Tails

L'usurpation d'adresse MAC est activée par défaut dans cette image de test. Vous pouvez changer cela avec une option de démarrage. La documentation (préliminaire) sur l'usurpation d'adresse MAC essaye d'expliquer les situations dans lesquelles il peut s'avérer une bonne idée de garder cette option activée. Cela dit, s'agissant uniquement d'une version de test, nous vous pressons de ne pas l'utiliser pour quoi que ce soit de sérieux, et si possible, de tester à la fois l'option activée et désactivée.

Que tester

Pour chaque problème d'usurpation d'adresse MAC que vous rencontrerez en utilisant cette ISO de test, veuillez inclure les résultats des commandes suivantes quand vous nous le signalerez (note : cela requière la configuration d'un mot de passe d'administration) :

sudo grep spoof-mac /var/log/syslog
sudo grep unblock-network /var/log/syslog

En particulier, nous aimerions que vous fassiez particulièrement attention aux choses suivantes :

Vérifier que la configuration d'usurpation d'adresse MAC est bien appliquée

Veuillez vérifier que la configuration d'usurpation d'adresse MAC que vous sélectionnez est bien appliquée en exécutant les commandes suivantes :

. /usr/local/lib/tails-shell-library/hardware.sh
for i in $(get_all_ethernet_nics); do
  echo "Interface $i"
  macchanger $i
done

Pour chaque périphérique réseau vous obtiendrez une entrée ressemblant à cela :

Interface eth0
Permanent MAC: 12:34:56:78:90:ab (unknown)
Current   MAC: 12:34:56:f4:fb:22 (unknown)

La « Permanent MAC » est l'adresse MAC unique et « réelle » du périphérique réseau ; la « Current MAC » est celle qui lui est donnée à ce moment là, usurpée ou non. En d'autres termes :

  • si elles sont différentes, alors l'usurpation d'adresse MAC est activée ;

  • si elles sont identiques, alors l'usurpation d'adresse MAC est désactivée.

Merci de nous signaler tout résultats inattendus.

MAC address allowlisting problems

Some wireless networks are configured to only allow connections for devices with certain MAC addresses, called MAC address allowlisting. MAC address spoofing will cause issues on networks like these. Therefore Tails has a crude mechanism for detecting this, and will show an informative notification about what to do about it.

If you have access to a wireless network that employs MAC address allowlisting, then connect to it with MAC spoofing enabled and verify that Tails shows a notification with the headline: "Network connection blocked?".

Note: Tails detection mechanism for MAC address allowlisting only works for wireless (Wi-Fi) networks.

Problèmes réseau

Veuillez signaler tout problème de périphérique réseau et de connexion, par exemple si un de vos périphériques réseau n'est pas du tout détecté par Tails, si la connexion réseau échoue, ou si la connexion réseau s'établit mais ne fonctionne pas. Vérifiez également que vous ne rencontrez pas les mêmes problèmes avec Tails 0.22.

Problèmes connus

Pas de protection pour les périphériques branchés à chaud après connexion

Afin d'empêcher la vraie adresse MAC de fuiter lorsque l'usurpation d'adresse MAC échoue pour un périphérique réseau, Tails dispose d'une sécurité intégrée qui désactive simplement le périphérique. Pour le moment cela ne fonctionne que pour les périphériques réseau présents avant connexion via Tails Greeter ; ce mécanisme de sécurité ne fonctionne par exemple pas pour les cartes Wi-Fi branchées après.