Une brèche de sécurité affecte I2P 0.9.13, qui est un composant de Tails 1.1 et plus ancien.

Portée et gravité

If you are using I2P in Tails 1.1 and earlier, an attacker can deanonymize you: they can learn the IP address that identifies you on the Internet.

Pour être capable de réaliser cette attaque :

  1. l'attaquant doit pouvoir modifier le contenu d'un site web que vous êtes en train de visiter en utilisant le Navigateur Tor de Tails — beaucoup de personnes sont capables de faire cela ;

  2. et l'attaquant doit trouver comment utiliser cette brèche de sécurité ; cette information n'est pas encore publiée, mais il est possible qu'il l'ait déjà découvert ou qu'il ai été mis au courant d'une manière ou d'une autre.

Tails ne démarre pas I2P par défaut. Ce choix de conception a été fait précisément pour protéger les personnes utilisant Tails qui n'utilisent pas I2P des failles de sécurité de ce logiciel.

Still, an attacker who would also be able to start I2P on your Tails, either by exploiting another undisclosed security hole, or by tricking you into starting it yourself, could then use this I2P security hole to deanonymize you.

Solutions temporaires

Vous pouvez vous protéger vous-même de cette faille de sécurité jusqu'à ce qu'il soit corrigé.

Ne démarrez pas I2P dans Tails 1.1 et plus ancien. Vous pouvez vous protéger d'avantage en enlevant le paquet i2p à chaque fois que vous démarrez Tails :

  1. Définir un mot de passe d'administration.

  2. Exécutez cette commande dans un Terminal Root :

    apt-get purge i2p

Toutefois, si vous avez réellement besoin d'utiliser I2P dans Tails 1.1 : avant de démarrer I2P, désactivez globalement JavaScript avec NoScript dans le Navigateur Tor.

Remerciements

Cette faille de sécurité nous a été signalé par Exodus Intelligence.