Tails - Security advisoriesThe Amnesic Incognito Live Systemhttps://staging.tails.boum.org/security/index.fr.htmlThe Amnesic Incognito Live Systemikiwiki2024-03-16T03:23:26Z\"Possiblehttps://staging.tails.boum.org/security/TROVE-2023-006/index.fr.html2024-03-16T03:22:33Z2023-11-15T14:00:00Z
<p>Attaques possibles sur les services onions</p>
<div class="caution">
<p><strong>Creating onion services from Tails 5.19 and earlier is unsafe.</strong></p>
<p>We recommend that you stop using <em>OnionShare</em> and upgrade to Tails
5.19.1.</p>
</div>
<p>The Tor Project has released a security fix for a vulnerability named
TROVE-2023-006.</p>
<p> The details of TROVE-2023-006 haven't been disclosed by the Tor Project to
leave time for users to upgrade before revealing more. We only know that the
Tor Project describes TROVE-2023-006 as a "<a href="https://gitlab.torproject.org/tpo/core/team/-/wikis/NetworkTeam/TROVE"><em>remote triggerable assert on
onion
services</em></a>".</p>
<p> Notre equipe pense que cette vulnérabilité pourrait affecter les utilisateurs de Tails qui
créent des services onions depuis leur Tails, par exemple en partageant des fichiers ou
en publiant un site web avec <em>OnionShare</em>.*</p>
<p> This vulnerability might allow an attacker who already knows your
<em>OnionShare</em> address to make your Tor client crash. A powerful attacker might
be able to further exploit this crash to reveal your IP address.</p>
<p> This analysis is only a hypothesis because our team doesn't have access to
more details about this vulnerability. Still, we are releasing this emergency
release as a precaution.</p>
<p> <em>OnionShare</em> is the only application included in Tails that creates onion
services. You are not affected by this vulnerability if you don't use
<em>OnionShare</em> in Tails and only use Tails to connect to onion services and
don't create onion services using Additional Software.</p>
<p> More details about TROVE-2023-006 will be available on the
<a href="https://gitlab.torproject.org/tpo/core/tor/-/issues/40883">Tor issue #40883</a>
sometime after the release.</p>
Paramètres cryptographiques faibles avec LUKS1https://staging.tails.boum.org/security/argon2id/index.fr.html2024-03-16T03:23:26Z2023-06-14T12:34:56Z
<p>Les paramètres cryptographiques de LUKS jusqu'à Tails 5.12 sont vulnérables
contre un adversaire étatique ayant un accès physique à votre périphérique.</p>
<p><strong>Nous recommandons de changer la phrase de passe de votre stockage persistant et de tout autre
volume LUKS sauf si vous utilisez une phrase de passe longue d'au moins 5 mots aléatoires.</strong></p>
<h1 id="understanding">Comprendre la vulnérabilité et sa solution</h1>
<h2 id="race">La course à la protection contre les attaques par force brute</h2>
<p>Avec toutes les technologies de chiffrement qui protègent des données sur un
disque dur ou une clé USB avec un mot de passe ou une phrase de passe, un
attaquant peut essayer toutes les combinaisons possibles jusqu'à deviner la
phrase de passe et outrepasser le chiffrement. Ce type d'attaque est appelé
une <em><a href="https://fr.wikipedia.org/wiki/attaque%5Fpar%5Fforce%5Fbrute">attaque par force brute</a></em>.</p>
<p>Un mot de passe robuste rend les attaques par force brute plus lentes et
onéreuses. Plus une phrase de passe est longue, plus l'attaque par force
brute devient onéreuse.</p>
<p>Certains paramètres cryptographiques peuvent également rendre chaque essai
d'attaque par force brute plus lent et plus onéreux, par exemple en ajoutant
des opérations complexes sur chaque phrase de passe avant de pouvoir essayer
de déchiffrer la partition avec le résultat de ces opérations.</p>
<p>Au cours des années, les ordinateurs sont devenus de plus en plus rapides et
abordables. Les technologies de chiffrement mettent à jour régulièrement
leurs paramètres pour trouver un équilibre entre rapidité et sécurité pour
les personnes les utilisant et rendre les attaques par force brute aussi
coûteuses que possibles pour les attaquants.</p>
<p>Des paramètres de chiffrement robustes <em>combinés</em> avec une phrase de passe
robuste rendent les attaques par force brute tellement lentes et onéreuses
qu'elles sont impossibles à réaliser dans la pratique. Par exemple, une
attaque par force brute est pratiquement impossible si elle nécessite des
milliers d'années même avec les ordinateurs les plus puissants.</p>
<h2 id="comparison">Robustesse d'Argon2id comparé à PBKDF2</h2>
<p>Jusqu'à Tails 5.12 (19 avril 2023), Tails créait des partitions LUKS en
version 1 (LUKS1) avec PBKDF2 comme <em>fonction de dérivation de clé</em>, une
fonction appliquée à la phrase de passe avant d'essayer de déchiffrer la
partition avec le résultat.</p>
<p>PBKDF2 est maintenant considéré comme trop faible comparativement à la
puissance de calcul disponible.</p>
<p>Certains cryptographes pensent que cette vulnérabilité a déjà été <a href="https://mjg59.dreamwidth.org/66429.html">utilisée
contre un activiste en France</a> mais
les opérations réelles menées par la police française sont gardées secrètes.</p>
<p>Depuis Tails 5.13 (16 mai 2023), Tails créé des périphériques LUKS en
version 2 (LUKS2) avec Argon2id comme <em>fonction de dérivation de clé</em>.</p>
<table>
<tr><th>Version Tails<br />quand le chiffrement a été initialisé</th><th>Date de sortie</th><th>Version LUKS</th><th>Fonction de dérivation de clé</th><th>Robustesse</th></tr>
<tr><td>5.12 ou antérieur</td><td>19 avril 2023</td><td>LUKS1</td><td>PBKDF2</td><td>Faible</td></tr>
<tr><td>5.13 ou ultérieur</td><td>16 mai 2023</td><td>LUKS2</td><td>Argon2id</td><td>Fort</td></tr>
</table>
<p>Nous avons estimé la quantité d'électricité nécessaire pour deviner une
phrase de passe de différentes robustesses. Comme nous le recommandons pour
le stockage persistant, nous évaluons les phrases de passe faites de
plusieurs mots aléatoires.</p>
<table>
<tr><th>Longueur de la phrase de passe</th><th>PBKDF2</th><th>Argon2id</th></tr>
<tr><td>3 mots aléatoires</td><td>$0.1</td><td>$100</td></tr>
<tr><td>4 mots aléatoires</td><td>$1 000</td><td>$1 000 000</td></tr>
<tr><td>5 mots aléatoires</td><td>$10 000 000</td><td>$10 000 000 000</td></tr>
<tr><td>6 mots aléatoires</td><td>$100 000 000 000</td><td>$100 000 000 000 000</td></tr>
<tr><td>7 mots aléatoires</td><td>$1 000 000 000 000 000</td><td>$1 000 000 000 000 000 000</td></tr>
</table>
<p>Ces nombres sont des estimations très approximatives mais donnent une idée
de la longueur de phrase de passe qu'un adversaire très puissant comme un
attaquant étatique pourrait deviner.</p>
<p>Même si deviner une phrase de passe de 3 mots aléatoires avec LUKS1 coûte
très peu d'énergie, une attaque de ce type nécessite également :</p>
<ul>
<li>Un accès physique à l'appareil</li>
<li>Un équipement informatique très onéreux</li>
<li>Des compétences de piratage professionnelles</li>
</ul>
<p>Vous pouvez voir les détails de nos calculs ici <a href="https://gitlab.tails.boum.org/tails/tails/-/issues/19615">#19615</a> et
sur cette <a href="https://cryptpad.disroot.org/sheet/#/2/sheet/view/KdOJLeuCsc4dS3vq-bHhFw6zByUSRJXsCcAkB-ERxtc/">feuille de
calcul</a>.</p>
<h2 id="schemes">D'autres schémas de mots de passe donnent trop peu de garantie</h2>
<p>Nous recommandons d'utiliser des phrases de passe faites de plusieurs mots
aléatoires parce que l'aléatoire est le seul moyen de réellement garantir la
robustesse d'un mot de passe.</p>
<p>Utiliser d'autres schémas de mot de passe donne trop peu de garantie sur la
robustesse du mot de passe, même s'il respecte des politiques compliquées et
valide des tests de robustesse.</p>
<p>Par exemple, un <a href="https://www.washingtonpost.com/world/2020/12/17/dutch-trump-twitter-password-hack/">pirate néerlandais s'est connecté sur le compte Twitter de
Donald Trump <em>deux
fois</em></a>
en devinant ses mots de passe composés de plusieurs mots, faisant plus de 8
caractères et contenant même des caractères spéciaux. Ils n'étaient
définitivement pas assez aléatoires : "<em>maga2020!</em>" et "<em>yourefired</em>".</p>
<p>Pour comprendre les mathématiques derrière la robustesse d'un mot de passe,
regardez <a href="https://media.libreplanet.org/u/libreplanet/m/an-information-theoretic-model-of-privacy-and-security-metrics/">An information theoretic model of privacy and security
metrics</a>.
Bill Budington d'EFF explique le concept d'entropie et son implication sur
la prise d'empreinte du navigateur et la sécurité des mots de passe en
termes accessibles.</p>
<h1 id="updating">Keeping your encryption secure</h1>
<p>All users are recommended to upgrade to LUKS2 on all their encrypted
devices: Persistent Storage, backup Tails, and other external encrypted
volumes.</p>
<p>Depending on the strength of your passphrase, we might also recommend
choosing a different passphrase and migrating to another Tails USB stick:</p>
<ul>
<li><a href="https://staging.tails.boum.org/security/argon2id/index.fr.html#4">If your passphrase has 4 random words or fewer</a> - <a href="https://staging.tails.boum.org/security/argon2id/index.fr.html#5">If your
passphrase has 5 random words</a> - <a href="https://staging.tails.boum.org/security/argon2id/index.fr.html#6">If your passphrase has 6
random words or more</a></li>
</ul>
<h2 id="4">If your passphrase has 4 random words or fewer</h2>
<p>If your current passphrase has 4 random words or fewer:</p>
<ul>
<li><p>Your encryption is insecure with LUKS1.</p>
<p>You have to upgrade to LUKS2.</p></li>
<li><p>Your encryption is more secure with LUKS2.</p>
<p>We still recommend changing your passphrase to be 5 random words or more.</p></li>
</ul>
<h3>Persistent Storage (4 words or fewer)</h3>
<p>To secure your Persistent Storage:</p>
<ol>
<li><p>Update to Tails 5.14.</p>
<p>When starting Tails 5.14 for the first time, Tails will automatically
convert your Persistent Storage to LUKS2.</p></li>
<li><p>Choose a new passphrase of 5 to 7 random words.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-ps-keepassxc">Display the instructions to generate a passphrase using <em>KeePassXC</em>.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-ps-keepassxc"></div>
<ol>
<li><p>Choisir <strong>Applications</strong> ▸ <strong>KeePassXC</strong>.</p></li>
<li><p>Choisir <strong>Outils</strong> ▸ <strong>Générateur de mot de passe</strong>.</p></li>
<li><p>Passer à l'onglet <strong>Phrase de passe</strong>.</p>
<p>Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.</p>
<div class="caution">
<p>Il est impossible de récupérer votre phrase de passe si vous l'oubliez !</p>
<p>Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de
papier, le ranger dans votre portefeuille, et le détruire une fois
que vous la connaissez bien.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>Change your passphrase.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-ps-passphrase">Display the instructions to change the passphrase of your Persistent Storage.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-ps-passphrase"></div>
<ol>
<li><p>Choisir <strong>Applications</strong> ▸ <strong>Stockage persistant</strong>.</p></li>
<li><p>Cliquer sur le bouton <strong>Modifier la phrase de passe</strong> à gauche de la
barre de titre.</p></li>
<li><p>Entrer la phrase de passe actuelle dans la boîte de dialogue <strong>Phrase
de passe actuelle</strong>.</p></li>
<li><p>Entrer la nouvelle phrase de passe dans la boîte de dialogue
<strong>Nouvelle phrase de passe</strong>.</p></li>
<li><p>Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte
de dialogue <strong>Confirmer la nouvelle phrase de passe</strong>.</p></li>
<li><p>Cliquer sur <strong>Modifier</strong>.</p></li>
<li><p>Fermer les paramètres du <strong>stockage persistant</strong>.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>If you created your Persistent Storage with Tails 5.12 or earlier, we
recommend you migrate your entire Tails to a different USB stick and
destroy your old Tails USB stick (or at least <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely delete the
entire device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-ps-tails-installer">Display the instructions to migrate your Tails to a new USB stick.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-ps-tails-installer"></div>
<ol>
<li><p>Insérez la nouvelle clé USB.</p></li>
<li><p>Choose <strong>Applications</strong> ▸ <strong>Tails Cloner</strong>.</p></li>
<li><p>Turn on the option <strong>Clone the current Persistent Storage</strong> below the
option <strong>Clone the current Tails</strong>.</p></li>
<li><p>Make sure that the new USB stick is selected in the <strong>Target USB
stick</strong> menu.</p></li>
<li><p>To start the cloning, click on the <strong>Install</strong> button.</p></li>
<li><p>Enter a passphrase for the Persistent Storage on the new USB stick in
the <strong>Passphrase</strong> text box.</p></li>
<li><p>Enter the same passphrase again in the <strong>Confirm</strong> text box.</p></li>
<li><p>Click <strong>Continue</strong>.</p></li>
<li><p>Lire le message d’avertissement dans la fenêtre de confirmation.</p></li>
<li><p>Click <strong>Delete All Data and Install</strong> to confirm.</p>
<p>Cloning takes a few minutes.</p>
<div class="bug">
<p>The progress bar usually freezes for some time
while synchronizing data on disk.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h3>Backup Tails (4 words or fewer)</h3>
<p>To secure your <a href="https://staging.tails.boum.org/doc/persistent_storage/backup/index.fr.html">backup Tails</a>, if you have
one:</p>
<ol>
<li><p>Start on your main Tails USB stick.</p></li>
<li><p>Update your main Tails USB stick to Tails 5.14.</p></li>
<li><p>Create a new backup Tails using <em>Tails Cloner</em></p>
<p>If you created your Persistent Storage with Tails 5.12 or earlier, we
recommend you create your new backup Tails on a different USB stick and
destroy your old backup Tails (or at least <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely delete the entire
device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-backup-tails-installer">Display the instructions to create a new backup.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-backup-tails-installer"></div>
<ol>
<li><p>Insérez la nouvelle clé USB.</p></li>
<li><p>Choose <strong>Applications</strong> ▸ <strong>Tails Cloner</strong>.</p></li>
<li><p>Turn on the option <strong>Clone the current Persistent Storage</strong> below the
option <strong>Clone the current Tails</strong>.</p></li>
<li><p>Make sure that the new USB stick is selected in the <strong>Target USB
stick</strong> menu.</p></li>
<li><p>To start the cloning, click on the <strong>Install</strong> button.</p></li>
<li><p>Enter a passphrase for the Persistent Storage on the new USB stick in
the <strong>Passphrase</strong> text box.</p></li>
<li><p>Enter the same passphrase again in the <strong>Confirm</strong> text box.</p></li>
<li><p>Click <strong>Continue</strong>.</p></li>
<li><p>Lire le message d’avertissement dans la fenêtre de confirmation.</p></li>
<li><p>Click <strong>Delete All Data and Install</strong> to confirm.</p>
<p>Cloning takes a few minutes.</p>
<div class="bug">
<p>The progress bar usually freezes for some time
while synchronizing data on disk.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h3>Other encrypted volumes (4 words or fewer)</h3>
<p>To secure your other encrypted volumes, if you have any:</p>
<ol>
<li><p>Update to Tails 5.14.</p></li>
<li><p>Choose a new passphrase of 5 to 7 random words.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-other-keepassxc">Display the instructions to generate a passphrase using <em>KeePassXC</em>.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-other-keepassxc"></div>
<ol>
<li><p>Choisir <strong>Applications</strong> ▸ <strong>KeePassXC</strong>.</p></li>
<li><p>Choisir <strong>Outils</strong> ▸ <strong>Générateur de mot de passe</strong>.</p></li>
<li><p>Passer à l'onglet <strong>Phrase de passe</strong>.</p>
<p>Une phrase de passe très forte de sept mots aléatoires est automatiquement générée.</p>
<div class="caution">
<p>Il est impossible de récupérer votre phrase de passe si vous l'oubliez !</p>
<p>Pour vous aider à mémoriser votre phrase de passe, vous pouvez l'écrire sur un morceau de
papier, le ranger dans votre portefeuille, et le détruire une fois
que vous la connaissez bien.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<p>If your encrypted volume is on a traditional hard disk (not an SSD) and you
can use the command line:</p>
<ol>
<li><p>Identify the partition name of your encrypted volume.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-other-cryptsetup-partition">Display the instructions to identify the partition name using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-other-cryptsetup-partition"></div>
<ol>
<li><p>Lors du démarrage de Tails, <a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">définir un mot de passe
d'administration</a>.</p></li>
<li><p>Choisir<strong>Applications</strong> <strong>Outils système</strong> <strong>Terminal
superutilisateur</strong>.</p></li>
<li><p>Exécutez la commande suivante :</p>
<pre><code>lsblk
</code></pre>
<p>La sortie est une liste de périphériques de stockage et de partitions du système.
Par exemple :</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Branchez votre volume chiffré. Gardez le chiffrement verrouillé.</p></li>
<li><p>Exécutez encore la même commande :</p>
<pre><code>lsblk
</code></pre>
<p>Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions.
Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb 8:0 1 7G 0 disk
└─sdb1 8:2 1 7G 0 part
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Prenez en note le <em>nom de la partition</em> de votre volume chiffré. Dans
cet exemple, le nouveau périphérique dans la liste est <span class="code">sdb</span> et le volume chiffré est dans la partition
<span class="code">sdb1</span>. Les vôtres peuvent être différents.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>If you created your encrypted volume with Tails 5.12 or earlier, upgrade
to LUKS2.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-other-cryptsetup-upgrade">Display the instructions to upgrade to LUKS2 using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-other-cryptsetup-upgrade"></div>
<ol>
<li><p>Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id,
exécuter la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie :</p>
<ul>
<li><p><code>Version</code> indicates the version of LUKS, either <code>1</code> or <code>2</code>.</p></li>
<li><p><code>PBKDF</code> indicates the key derivation function, either <code>pbkdf2</code> or
<code>argon2id</code>.</p></li>
</ul>
<p>Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter
ici.</p></li>
<li><p>Exécuter la commande suivante pour faire une sauvegarde de votre
en-tête LUKS1.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksHeaderBackup /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
<p>Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1
depuis cette sauvegarde avec :</p>
<p class="pre command-template">cryptsetup luksHeaderRestore /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
</li>
<li><p>Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande
suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de périphérique trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup convert /dev/<span class="command-placeholder">[partition]</span> --type luks2</p>
</li>
<li><p>Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de
clé, exécuter de nouveau la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie, vérifier que :</p>
<ul>
<li><p>The <code>Version</code> is <code>2</code> and not <code>1</code>.</p></li>
<li><p>The <code>PBKDF</code> is <code>argon2id</code> and not <code>pbkdf2</code>.</p></li>
</ul>
</li>
<li><p>Essayer de déverrouiller votre volume chiffré.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>Change your passphrase.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.4-other-cryptsetup-passphrase">Display the instructions to change your passphrase using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.4-other-cryptsetup-passphrase"></div>
<ol>
<li><p>Pour changer votre phrase de passe, exécutez la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de partition trouvé à l'étape 1.6.</p>
<p> </p><p class="pre command-template">cryptsetup luksChangeKey /dev/<span class="command-placeholder">[partition]</span></p></li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<p>Otherwise, if your encrypted volume is on a USB stick (or an SSD) or you are
not comfortable with the command line:</p>
<ul>
<li><p>If you created your encrypted volume with Tails 5.13 or later, we
recommend you change your passphrase.</p>
<p>Follow our instructions on <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.fr.html#changing">changing the passphrase of an existing encrypted
partition</a>.</p></li>
<li><p>If you created your encrypted volume with Tails 5.12 or earlier, we
recommend you migrate all your encrypted data to a new encrypted device.</p>
<p>Follow our instructions on <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.fr.html">creating and using LUKS encrypted
volumes</a>.</p>
<p>We also recommend you destroy your old device (or at least <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely delete
the entire device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p></li>
</ul>
<h2 id="5">If your passphrase has 5 random words</h2>
<p>If your current passphrase has 5 random words:</p>
<ul>
<li><p>Your encryption is secure with LUKS1, except against a very powerful
adversary, like a state-sponsored attacker with a huge budget to spend on
guessing your passphrase.</p>
<p>We still recommend you upgrade to LUKS2.</p></li>
<li><p>Your encryption is even more secure with LUKS2.</p></li>
</ul>
<p>Congratulations on following our recommendations!</p>
<h3>Persistent Storage (5 words)</h3>
<p>To secure your Persistent Storage:</p>
<ol>
<li><p>Update to Tails 5.14.</p>
<p>When starting Tails 5.14 for the first time, Tails will automatically
convert your Persistent Storage to LUKS2.</p></li>
<li><p>Consider adding another random word to your passphrase.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-ps-passphrase">Display the instructions to change the passphrase of your Persistent Storage.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-ps-passphrase"></div>
<ol>
<li><p>Choisir <strong>Applications</strong> ▸ <strong>Stockage persistant</strong>.</p></li>
<li><p>Cliquer sur le bouton <strong>Modifier la phrase de passe</strong> à gauche de la
barre de titre.</p></li>
<li><p>Entrer la phrase de passe actuelle dans la boîte de dialogue <strong>Phrase
de passe actuelle</strong>.</p></li>
<li><p>Entrer la nouvelle phrase de passe dans la boîte de dialogue
<strong>Nouvelle phrase de passe</strong>.</p></li>
<li><p>Entrer votre nouvelle phrase de passe une nouvelle fois dans la boîte
de dialogue <strong>Confirmer la nouvelle phrase de passe</strong>.</p></li>
<li><p>Cliquer sur <strong>Modifier</strong>.</p></li>
<li><p>Fermer les paramètres du <strong>stockage persistant</strong>.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>If you created your encrypted volume with Tails 5.12 or earlier and are
worried about a very powerful adversary, consider migrating your entire
Tails to a different USB stick and destroying your old Tails USB stick
(or at least <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely deleting the entire
device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-ps-tails-installer">Display the instructions to migrate your entire Tails to a new USB stick.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-ps-tails-installer"></div>
<ol>
<li><p>Insérez la nouvelle clé USB.</p></li>
<li><p>Choose <strong>Applications</strong> ▸ <strong>Tails Cloner</strong>.</p></li>
<li><p>Turn on the option <strong>Clone the current Persistent Storage</strong> below the
option <strong>Clone the current Tails</strong>.</p></li>
<li><p>Make sure that the new USB stick is selected in the <strong>Target USB
stick</strong> menu.</p></li>
<li><p>To start the cloning, click on the <strong>Install</strong> button.</p></li>
<li><p>Enter a passphrase for the Persistent Storage on the new USB stick in
the <strong>Passphrase</strong> text box.</p></li>
<li><p>Enter the same passphrase again in the <strong>Confirm</strong> text box.</p></li>
<li><p>Click <strong>Continue</strong>.</p></li>
<li><p>Lire le message d’avertissement dans la fenêtre de confirmation.</p></li>
<li><p>Click <strong>Delete All Data and Install</strong> to confirm.</p>
<p>Cloning takes a few minutes.</p>
<div class="bug">
<p>The progress bar usually freezes for some time
while synchronizing data on disk.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h3>Backup Tails (5 words)</h3>
<p>To secure your <a href="https://staging.tails.boum.org/doc/persistent_storage/backup/index.fr.html">backup Tails</a>, if you have
one:</p>
<ol>
<li><p>Start on your main Tails USB stick.</p></li>
<li><p>Update your main Tails USB stick to Tails 5.14.</p></li>
<li><p>Update your backup or create a new backup Tails using <em>Tails Cloner</em>.</p>
<p>If you created your backup Tails with Tails 5.12 or earlier and are worried
about a very powerful adversary, consider creating your new backup Tails on a
different USB stick and destroying your old backup Tails (or at least
<a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely deleting the entire
device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-backup-tails-installer">Display the instructions to update your backup or create a new backup.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-backup-tails-installer"></div>
<ol>
<li><p>Insérez la nouvelle clé USB.</p></li>
<li><p>Choose <strong>Applications</strong> ▸ <strong>Tails Cloner</strong>.</p></li>
<li><p>Turn on the option <strong>Clone the current Persistent Storage</strong> below the
option <strong>Clone the current Tails</strong>.</p></li>
<li><p>Make sure that the new USB stick is selected in the <strong>Target USB
stick</strong> menu.</p></li>
<li><p>To start the cloning, click on the <strong>Install</strong> button.</p></li>
<li><p>Enter a passphrase for the Persistent Storage on the new USB stick in
the <strong>Passphrase</strong> text box.</p></li>
<li><p>Enter the same passphrase again in the <strong>Confirm</strong> text box.</p></li>
<li><p>Click <strong>Continue</strong>.</p></li>
<li><p>Lire le message d’avertissement dans la fenêtre de confirmation.</p></li>
<li><p>Click <strong>Delete All Data and Install</strong> to confirm.</p>
<p>Cloning takes a few minutes.</p>
<div class="bug">
<p>The progress bar usually freezes for some time
while synchronizing data on disk.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h3>Other encrypted volumes (5 words)</h3>
<p>To secure your other encrypted volumes, if you have any:</p>
<ol>
<li><p>Update to Tails 5.14.</p></li>
<li><p>Consider adding another random word to your passphrase.</p></li>
</ol>
<p>If you created your encrypted volume with Tails 5.12 or earlier and your
encrypted volume is on a traditional hard disk (not an SSD) and you can use
the command line:</p>
<ol>
<li><p>Identify the partition name of your encrypted volume.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-other-cryptsetup-partition">Display the instructions to identify the partition name using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-other-cryptsetup-partition"></div>
<ol>
<li><p>Lors du démarrage de Tails, <a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">définir un mot de passe
d'administration</a>.</p></li>
<li><p>Choisir<strong>Applications</strong> <strong>Outils système</strong> <strong>Terminal
superutilisateur</strong>.</p></li>
<li><p>Exécutez la commande suivante :</p>
<pre><code>lsblk
</code></pre>
<p>La sortie est une liste de périphériques de stockage et de partitions du système.
Par exemple :</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Branchez votre volume chiffré. Gardez le chiffrement verrouillé.</p></li>
<li><p>Exécutez encore la même commande :</p>
<pre><code>lsblk
</code></pre>
<p>Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions.
Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb 8:0 1 7G 0 disk
└─sdb1 8:2 1 7G 0 part
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Prenez en note le <em>nom de la partition</em> de votre volume chiffré. Dans
cet exemple, le nouveau périphérique dans la liste est <span class="code">sdb</span> et le volume chiffré est dans la partition
<span class="code">sdb1</span>. Les vôtres peuvent être différents.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>If you created your encrypted volume with Tails 5.12 or earlier, upgrade
to LUKS2.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-other-cryptsetup-upgrade">Display the instructions to upgrade to LUKS2 using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-other-cryptsetup-upgrade"></div>
<ol>
<li><p>Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id,
exécuter la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie :</p>
<ul>
<li><p><code>Version</code> indicates the version of LUKS, either <code>1</code> or <code>2</code>.</p></li>
<li><p><code>PBKDF</code> indicates the key derivation function, either <code>pbkdf2</code> or
<code>argon2id</code>.</p></li>
</ul>
<p>Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter
ici.</p></li>
<li><p>Exécuter la commande suivante pour faire une sauvegarde de votre
en-tête LUKS1.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksHeaderBackup /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
<p>Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1
depuis cette sauvegarde avec :</p>
<p class="pre command-template">cryptsetup luksHeaderRestore /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
</li>
<li><p>Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande
suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de périphérique trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup convert /dev/<span class="command-placeholder">[partition]</span> --type luks2</p>
</li>
<li><p>Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de
clé, exécuter de nouveau la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie, vérifier que :</p>
<ul>
<li><p>The <code>Version</code> is <code>2</code> and not <code>1</code>.</p></li>
<li><p>The <code>PBKDF</code> is <code>argon2id</code> and not <code>pbkdf2</code>.</p></li>
</ul>
</li>
<li><p>Essayer de déverrouiller votre volume chiffré.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>Change your passphrase.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.5-other-cryptsetup-passphrase">Display the instructions to change your passphrase using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.5-other-cryptsetup-passphrase"></div>
<ol>
<li><p>Pour changer votre phrase de passe, exécutez la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de partition trouvé à l'étape 1.6.</p>
<p> </p><p class="pre command-template">cryptsetup luksChangeKey /dev/<span class="command-placeholder">[partition]</span></p></li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<p>If you create your encrypted volume with Tails 5.12 or earlier and your
encrypted volume is on a USB stick (or an SSD) or if you are not comfortable
with the command line:</p>
<ol>
<li><p>Migrate all your encrypted data to a new encrypted device.</p>
<p>Follow our instructions on <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.fr.html">creating and using LUKS encrypted
volumes</a>.</p></li>
<li><p>If you are worried about a very powerful adversary, consider destroying
your old device (or at least <a href="https://staging.tails.boum.org/doc/encryption_and_privacy/secure_deletion/index.fr.html#device">securely deleting the entire
device</a>).</p>
<p>If you don't, the previous LUKS1 data might still be written in some recovery
data on the USB stick and could be recovered using advanced data forensics
techniques.</p></li>
</ol>
<h2 id="6">If your passphrase has 6 random words or more</h2>
<p>If your current passphrase has 6 random words or more:</p>
<ul>
<li><p>Your encryption is secure with LUKS1, even against a very powerful
adversary.</p>
<p>We still recommend you upgrade to LUKS2.</p></li>
<li><p>Your encryption is even more secure with LUKS2.</p></li>
</ul>
<p>Congratulations on following our most secure recommendations!</p>
<h3>Persistent Storage (6 words or more)</h3>
<p>Your Persistent Storage is already secure, even with LUKS1.</p>
<p>After you upgrade to Tails 5.14 or later, Tails will automatically convert
your Persistent Storage to LUKS2 and make your Persistent Storage even more
secure.</p>
<h3>Backup Tails (6 words or more)</h3>
<p>Your backup Tails is already secure, even with LUKS1.</p>
<p>If you want to upgrade your backup Tails to LUKS2 anyway:</p>
<ol>
<li><p>Start on your main Tails USB stick.</p></li>
<li><p>Update your main Tails USB stick to Tails 5.14.</p></li>
<li><p>Update your backup using <em>Tails Cloner</em>.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.6-backup-tails-installer">Display the instructions to update your backup.</a>
</p><div class="toggleable" id="security-argon2id.fr.6-backup-tails-installer"></div>
<ol>
<li><p>Insérez la nouvelle clé USB.</p></li>
<li><p>Choose <strong>Applications</strong> ▸ <strong>Tails Cloner</strong>.</p></li>
<li><p>Turn on the option <strong>Clone the current Persistent Storage</strong> below the
option <strong>Clone the current Tails</strong>.</p></li>
<li><p>Make sure that the new USB stick is selected in the <strong>Target USB
stick</strong> menu.</p></li>
<li><p>To start the cloning, click on the <strong>Install</strong> button.</p></li>
<li><p>Enter a passphrase for the Persistent Storage on the new USB stick in
the <strong>Passphrase</strong> text box.</p></li>
<li><p>Enter the same passphrase again in the <strong>Confirm</strong> text box.</p></li>
<li><p>Click <strong>Continue</strong>.</p></li>
<li><p>Lire le message d’avertissement dans la fenêtre de confirmation.</p></li>
<li><p>Click <strong>Delete All Data and Install</strong> to confirm.</p>
<p>Cloning takes a few minutes.</p>
<div class="bug">
<p>The progress bar usually freezes for some time
while synchronizing data on disk.</p>
</div>
</li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h3>Other encrypted volumes (6 words or more)</h3>
<p>Your other encrypted volumes are already secure, even with LUKS1.</p>
<p>If you want to upgrade your other encrypted volumes to LUKS2 anyway and you
know how to use the command line:</p>
<ol>
<li><p>Identify the partition name of your encrypted volume.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.6-other-cryptsetup-partition">Display the instructions to identify the partition name using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.6-other-cryptsetup-partition"></div>
<ol>
<li><p>Lors du démarrage de Tails, <a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">définir un mot de passe
d'administration</a>.</p></li>
<li><p>Choisir<strong>Applications</strong> <strong>Outils système</strong> <strong>Terminal
superutilisateur</strong>.</p></li>
<li><p>Exécutez la commande suivante :</p>
<pre><code>lsblk
</code></pre>
<p>La sortie est une liste de périphériques de stockage et de partitions du système.
Par exemple :</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Branchez votre volume chiffré. Gardez le chiffrement verrouillé.</p></li>
<li><p>Exécutez encore la même commande :</p>
<pre><code>lsblk
</code></pre>
<p>Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions.
Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.</p>
<pre><code>NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb 8:0 1 7G 0 disk
└─sdb1 8:2 1 7G 0 part
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Prenez en note le <em>nom de la partition</em> de votre volume chiffré. Dans
cet exemple, le nouveau périphérique dans la liste est <span class="code">sdb</span> et le volume chiffré est dans la partition
<span class="code">sdb1</span>. Les vôtres peuvent être différents.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
<li><p>Upgrade to LUKS2.</p>
<p><a class="toggle" href="https://staging.tails.boum.org/security/index.fr.html#security-argon2id.fr.6-other-cryptsetup-upgrade">Display the instructions to upgrade to LUKS2 using the command line.</a>
</p><div class="toggleable" id="security-argon2id.fr.6-other-cryptsetup-upgrade"></div>
<ol>
<li><p>Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id,
exécuter la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie :</p>
<ul>
<li><p><code>Version</code> indicates the version of LUKS, either <code>1</code> or <code>2</code>.</p></li>
<li><p><code>PBKDF</code> indicates the key derivation function, either <code>pbkdf2</code> or
<code>argon2id</code>.</p></li>
</ul>
<p>Si votre volume chiffré utilise déjà LUKS2 et Argon2id, vous pouvez arrêter
ici.</p></li>
<li><p>Exécuter la commande suivante pour faire une sauvegarde de votre
en-tête LUKS1.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksHeaderBackup /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
<p>Si quelque chose se passe mal, vous serez capable de restaurer votre en-tête LUKS1
depuis cette sauvegarde avec :</p>
<p class="pre command-template">cryptsetup luksHeaderRestore /dev/<span class="command-placeholder">[partition]</span> --header-backup-file /home/amnesia/luks1header</p>
</li>
<li><p>Pour mettre à jour votre en-tête LUKS vers LUKS2, exécuter la commande
suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de périphérique trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup convert /dev/<span class="command-placeholder">[partition]</span> --type luks2</p>
</li>
<li><p>Pour vérifier qu'Argon2id est la nouvelle fonction de dérivation de
clé, exécuter de nouveau la commande suivante.</p>
<p>Remplacer <span class="command-placeholder">[partition]</span> avec le
nom de la partition trouvé à l'étape 1.6.</p>
<p class="pre command-template">cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p>Dans la sortie, vérifier que :</p>
<ul>
<li><p>The <code>Version</code> is <code>2</code> and not <code>1</code>.</p></li>
<li><p>The <code>PBKDF</code> is <code>argon2id</code> and not <code>pbkdf2</code>.</p></li>
</ul>
</li>
<li><p>Essayer de déverrouiller votre volume chiffré.</p></li>
</ol>
<div class="toggleableend"></div>
</li>
</ol>
<h2 id="checking">Knowing which version of LUKS is used in your devices</h2>
<p>If you know how to use the command line, you can verify whether your
encryption uses PBKDF2 or Argon2id.</p>
<h3>Stockage persistant</h3>
<ol>
<li><p>Lors du démarrage de Tails, <a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">définir un mot de passe
d'administration</a>.</p></li>
<li><p>Choisir<strong>Applications</strong> <strong>Outils système</strong> <strong>Terminal
superutilisateur</strong>.</p></li>
<li><p>Exécuter la commande suivante :</p>
<pre><code>lsblk
</code></pre>
<p>La sortie est une liste de périphériques de stockage et de partitions du système.
Par exemple :</p>
<pre><code> NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre>
<p> Your Persistent Storage appears as <code>TailsData_unlocked</code>.</p></li>
<li><p>Take note of the <em>partition name</em> of your Persistent Storage, which
appears above <code>TailsData_unlocked</code>. In this example, the Persistent
Storage is in the partition <span class="code">sda2</span>. Yours
might be different.</p></li>
<li><p>Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id,
exécuter la commande suivante.</p>
<p> Replace <span class="command-placeholder">[partition]</span> with the
partition name found in step 4.</p>
<p> </p><p class="pre command-template">sudo cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p> Dans la sortie :</p>
<ul>
<li><p><code>Version</code> indicates the version of LUKS, either <code>1</code> or <code>2</code>.</p></li>
<li><p><code>PBKDF</code> indicates the key derivation function, either <code>pbkdf2</code> or
<code>rgon2id</code>.</p></li>
</ul>
</li>
</ol>
<h3>Other encrypted volumes</h3>
<ol>
<li><p>Lors du démarrage de Tails, <a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">définir un mot de passe
d'administration</a>.</p></li>
<li><p>Choisir<strong>Applications</strong> <strong>Outils système</strong> <strong>Terminal
superutilisateur</strong>.</p></li>
<li><p>Exécutez la commande suivante :</p>
<pre><code>lsblk
</code></pre>
<p>La sortie est une liste de périphériques de stockage et de partitions du système.
Par exemple :</p>
<pre><code> NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Branchez votre volume chiffré. Gardez le chiffrement verrouillé.</p></li>
<li><p>Exécutez encore la même commande :</p>
<pre><code>lsblk
</code></pre>
<p>Votre volume chiffré apparaît comme un nouveau périphérique avec une liste de partitions.
Vérifiez que la taille de la partition corresponde à la taille de votre volume chiffré.</p>
<pre><code> NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
loop0 7:0 0 1.2G 1 loop /lib/live/mount/rootfs/filesystem.squashfs
sda 8:0 1 7G 0 disk
├─sda1 8:1 1 4G 0 part /lib/live/mount/medium
└─sda2 8:2 1 3G 0 part
└─TailsData_unlocked 253:0 0 3G 0 crypt /run/nosymfollow/live/persistence/TailsData_un...
sdb 8:0 1 7G 0 disk
└─sdb1 8:2 1 7G 0 part
zram0 254:0 0 2.8G 0 disk [SWAP]
</code></pre></li>
<li><p>Prenez en note le <em>nom de la partition</em> de votre volume chiffré. Dans
cet exemple, le nouveau périphérique dans la liste est <span class="code">sdb</span> et le volume chiffré est dans la partition
<span class="code">sdb1</span>. Les vôtres peuvent être différents.</p></li>
<li><p>Pour vérifier si votre volume chiffré utilise PBKDF2 ou Argon2id,
exécuter la commande suivante.</p>
<p> Replace <span class="command-placeholder">[partition]</span> with the
partition name found in step 6.</p>
<p> </p><p class="pre command-template">sudo cryptsetup luksDump /dev/<span class="command-placeholder">[partition]</span></p>
<p> Dans la sortie :</p>
<ul>
<li><p><code>Version</code> indicates the version of LUKS, either <code>1</code> or <code>2</code>.</p></li>
<li><p><code>PBKDF</code> indicates the key derivation function, either <code>pbkdf2</code> or
<code>argon2id</code>.</p></li>
</ul>
</li>
</ol>
Vulnérabilité de sécurité sérieuse dans Tails 5.0https://staging.tails.boum.org/security/prototype_pollution/index.fr.html2024-03-16T03:21:13Z2022-05-24T12:34:56Z
<p><em>Navigateur Tor</em> dans Tails 5.0 et versions antérieures n'est pas sûr à utiliser pour les
informations sensibles.</p>
<p><strong>Nous vous recommandons de cesser l'utilisation de Tails jusqu'à la publication de Tails 5.1 (début juin) si
vous utilisez le <em>Navigateur Tor</em> pour des informations sensibles (mots de passe, messages confidentiels,
informations personnelles, etc.).</strong></p>
<p>Une vulnérabilité de sécurité a été découverte dans le moteur JavaScript de
<em>Firefox</em> et du <em>Navigateur Tor</em>. Voir le <a href="https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/">bulletin de sécurité 2022-19 de
la fondation
Mozilla</a> (en
anglais)</p>
<p>Cette vulnérabilité permet à un site web malveillant de contourner certaines
sécurités internes au <em>Navigateur Tor</em> et d'accéder aux informations
d'autres sites web.</p>
<p>Par exemple, après avoir visité un site web malveillant, un attaquant qui
contrôle ce site web peut accéder au mot de passe ou à d'autres informations
sensibles que vous avez envoyées à d'autres sites web pendant la même
session Tails.</p>
<p>Cette vulnérabilité ne casse pas l'anonymat et le chiffrement des connexions
Tor.</p>
<p>Par exemple, il est toujours sûr et anonyme d'accéder à des sites web depuis
Tails si vous ne partagez pas d'informations sensibles avec eux.</p>
<p>Après que le <em>Navigateur Tor</em> a été compromis, la seul solution fiable est
de redémarrer Tails.</p>
<p>Les autres applications de Tails ne sont pas vulnérables. <em>Thunderbird</em> dans
Tails n'est pas vulnérable car JavaScript est désactivé.</p>
<p>Le <a href="https://staging.tails.boum.org/doc/anonymous_internet/Tor_Browser/index.fr.html#security-level">niveau de sécurité du <em>Navigateur
Tor</em></a> <em>le plus sûr</em> n'est
pas affecté car JavaScript est désactivé avec ce niveau de sécurité.</p>
<p>Cette vulnérabilité sera corrigée dans Tails 5.1 (début juin), mais notre
équipe n'a pas la capacité de publier une version d'urgence plus tôt.</p>
Vulnérabilité JavaScript dans le Navigateur Torhttps://staging.tails.boum.org/security/mcallgetproperty/index.fr.html2024-03-16T03:21:13Z2020-11-11T21:15:09Z
<p>Une <a href="https://www.mozilla.org/en-US/security/advisories/mfsa2020-49/">faille
critique</a> a
été découverte dans le moteur JavaScript de <em>Firefox</em> et du <em>Navigateur
Tor</em>.</p>
<p>En attendant Tails 4.13 (le 17 novembre), nous recommandons à toutes les
personnes utilisant Tails de régler le <a href="https://staging.tails.boum.org/doc/anonymous_internet/Tor_Browser/index.fr.html#security-level">niveau de sécurité du <em>Navigateur
Tor</em></a> à <em>Plus sûr</em> ou <em>Le
plus sûr</em>.</p>
<p>Cette vulnérabilité a été découverte durant le <a href="http://www.tianfucup.com/">concours international de
cybersécurité Tianfu Cup 2020</a>. Les détails de
cette vulnérabilité n'ont pas été rendus publics.</p>
<p>Nous n'avons entendu parler d'aucune utilisation de cette vulnérabilité
contre des personnes utilisant Tails.</p>
<p>Les niveaux de sécurité <em>Plus sûr</em> ou <em>Le plus sûr</em> du <em>Navigateur Tor</em> ne sont pas concernés
parce que la fonction JavaScript concernée, la <em><a href="https://fr.wikipedia.org/wiki/Compilation%5F%C3%A0%5Fla%5Fvol%C3%A9e">Compilation à la volée</a></em>, est désactivée à ces niveaux de sécurité.</p>
<p>Mozilla a corrigé cette vulnérabilité avec <em>Firefox</em> 78.4.1 et Tor l'a
corrigé avec le <em>Navigateur Tor</em> 10.0.4.</p>
<p>Nous avons décidé de ne pas faire une mise à jour d'urgence de Tails car :</p>
<ul>
<li>Tails 4.13 est déjà prévu pour le 17 novembre et va corriger cette
vulnérabilité.</li>
<li>Notre principal gestionnaire de version a quitté l'équipe récemment et
nous avons une capacité de travail très limitée actuellement.</li>
<li>Les détails de cette vulnérabilité ne sont pas publics, ce qui rend
difficile son exploitation, et nous n'avons entendu parler d'aucune
utilisation de cette vulnérabilité contre des personnes utilisant Tails.</li>
</ul>
Vulnérabilités de sécurité critique dans Tails 3.14.1https://staging.tails.boum.org/security/sandbox_escape_in_tor_browser/index.fr.html2024-03-16T03:21:13Z2019-06-20T10:34:57Z
<div class="caution">
<p>Dans Tails 3.14.1 et les versions précédentes, le Navigateur Tor n'est pas sûr dans la plupart des cas.</p>
<p>Nous vous encourageons <b>vivement</b> à
<a href="https://staging.tails.boum.org/news/version_3.14.2/">mettre à jour vers Tails 3.14.2</a> dès que possible.</p>
</div>
<h1>SOME DESCRIPTIVE TITLE</h1>
<h1>Copyright (C) YEAR Free Software Foundation, Inc.</h1>
<h1>This file is distributed under the same license as the PACKAGE package.</h1>
<h1>FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.</h1>
<p>#
msgid ""
msgstr ""
"Project-Id-Version: PACKAGE VERSION\n"
"POT-Creation-Date: 2021-05-10 15:03+0000\n"
"PO-Revision-Date: 2023-01-04 21:17+0000\n"
"Last-Translator: Chre <a href="mailto:tor@renaudineau.org">tor@renaudineau.org</a>\n"
"Language-Team: LANGUAGE <a href="mailto:LL@li.org">LL@li.org</a>\n"
"Language: fr\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
"Plural-Forms: nplurals=2; plural=n > 1;\n"
"X-Generator: Weblate 4.9.1\n"</p>
<h1>. type: Plain text</h1>
<h1>, no-wrap</h1>
<p>msgid "\n"
msgstr "\n"</p>
<h1>. type: Plain text</h1>
<p>msgid ""
"A security vulnerability was discovered in the sandboxing mechanism of "
"<em>Firefox</em> and <em>Tor Browser</em>. This vulnerability allows a malicious website "
"to bypass some of the confinement built in <em>Firefox</em>, which means possibly "
"spying on the content of other tabs and steal the passwords of other "
"websites."
msgstr ""
"Une faille de sécurité a été découverte dans le mécanisme de bac à sable de "
"<em>Firefox</em> et du <em>Navigateur Tor</em>. Cette faille permet à un site web "
"malveillant de passer outre une partie du confinement construit dans "
"<em>Firefox</em>, ce qui veut dire qu'il est possible d'espionner le contenu des "
"autres onglets et de voler des mots de passes d'autres sites web."</p>
<h1>. type: Plain text</h1>
<p>msgid ""
"After <em>Tor Browser</em> has been compromised, the only reliable solution is to "
"restart Tails."
msgstr ""
"Après que le <em>Navigateur Tor</em> a été compromis, la seul solution fiable est "
"de redémarrer Tails."</p>
<h1>. type: Plain text</h1>
<p>msgid ""
"Because <em>Tor Browser</em> in Tails is [[confined using <em>AppArmor</em>|doc/"
"anonymous_internet/Tor_Browser#confinement]], only the data accessible to "
"<em>Tor Browser</em> might be compromised but not the other applications or your "
"other files. For example, a compromised <em>Tor Browser</em> might access your "
"files in the <em>Tor Browser</em> and <em>Persistent/Tor Browser</em> folders but not "
"anywhere else."
msgstr ""
"Comme le <em>Navigateur Tor</em> dans Tails est [[confiné avec <em>AppArmor</em>|doc/"
"anonymous_internet/Tor_Browser#confinement]], seules les données accessibles "
"par le <em>Navigateur Tor</em> pourraient être compromises mais pas les autres "
"applications ou vos autres fichiers. Par exemple, un <em>Navigateur Tor</em> "
"compromis pourrait avoir accès aux fichiers dans les dossiers <em>Tor Browser</em> "
"et <em>Persistent/Tor Browser</em> mais pas ailleurs."</p>
<h1>. type: Plain text</h1>
<p>msgid "For example, without restarting Tails:"
msgstr "Par exemple, sans redémarrer Tails :"</p>
<h1>. type: Plain text</h1>
<p>msgid "- It is unsafe to:"
msgstr "- Il n'est pas sûr de :"</p>
<h1>. type: Bullet: ' - '</h1>
<p>msgid ""
"Log in to a website and also visit an untrusted website. Your password on "
"the first website might be stolen by the untrusted website."
msgstr ""
"S'identifier sur un site web tout en visitant un site non-fiable. Votre mot "
"de passe sur le premier site web pourrait être volé par le site non-fiable."</p>
<h1>. type: Bullet: ' - '</h1>
<p>msgid ""
"Visit an untrusted website if you have sensitive information stored in your "
"<em>Persistent/Tor Browser</em> folder. The untrusted website might access these "
"files."
msgstr ""
"Visiter un site non-fiable si vous avez des données sensibles stockées dans "
"votre dossier <em>Persistent/Tor Browser</em>. Le site non-fiable pourrait avoir "
"accès à ces fichiers."</p>
<h1>. type: Plain text</h1>
<p>msgid "- It is safe to:"
msgstr "- Il est sûr de :"</p>
<h1>. type: Bullet: ' - '</h1>
<p>msgid ""
"Visit untrusted websites, without logging in, if you have no sensitive "
"information stored in your <em>Tor Browser</em> and <em>Persistent/Tor Browser</em> "
"folders."
msgstr ""
"Visiter des sites web non-fiables, sans s'identifier, si vous n'avez pas "
"d'informations sensibles stockées dans vos dossiers <em>Tor Browser</em> et "
"<em>Persistent/Tor Browser</em>."</p>
<h1>. type: Bullet: ' - '</h1>
<p>msgid ""
"Log in to several trusted websites without visiting any untrusted websites."
msgstr ""
"S'identifier sur plusieurs sites fiables sans visiter de site non-fiable."</p>
Navigateur Tor non sûr sans une action manuellehttps://staging.tails.boum.org/security/noscript_disabled_in_tor_browser/index.fr.html2024-03-16T03:21:13Z2019-05-04T00:00:00Z
<div class="caution">Le Navigateur Tor dans Tails 3.13.1 n'est pas sûr à utiliser
sans effectuer une étape manuelle listée plus bas, à chaque fois que vous démarrez
Tails !</div>
<p>A partir du vendredi 3 mai, un problème dans <em>Firefox</em> et le <em>Navigateur
Torr</em> a désactivé toutes les extensions, notamment <em>NoScript</em> qui est
utilisé pour :</p>
<ul>
<li><p>Renforcer le <em>Navigateur Tor</em> contre certaines attaques JavaScript qui
peuvent conduire à compromettre les comptes et accès de certains sites
web.</p></li>
<li><p>Activer ou désactiver JavaScript sur certains sites web en utilisant
l'interface <em>NoScript</em>, si vous l'utilisez.</p></li>
</ul>
<p>Si <em>NoScript</em> est activé, l'icône <em>NoScript</em> apparaît dans le coin en haut à
droite et le <em>Navigateur Tor</em> est sûr :</p>
<p><img alt="" class="img" height="149" src="https://staging.tails.boum.org/news/version_3.13.2/with-noscript.png" width="269" /></p>
<p>Si <em>NoScript</em> est désactivé, l'icône <em>NoScript</em> est absente du coin en haut
à droite et le <em>Navigateur Tor</em> n'est pas sûr :</p>
<p><img alt="" class="img" height="149" src="https://staging.tails.boum.org/news/version_3.13.2/without-noscript.png" width="269" /></p>
<h2>Activer <em>NoScript</em> manuellement</h2>
<p>Pour sécuriser <em>Tor Browser</em> dans Tails 3.13.1 ou antérieur, vous devez
activer <em>NoScript</em> à chaque fois que vous démarrez Tails :</p>
<ol>
<li><p>Open the address <code>about:config</code> in <em>Tor Browser</em>.</p>
<p><img class="img" height="155" src="https://staging.tails.boum.org/news/version_3.13.2/about-config.png" width="609" /></p></li>
<li><p>Cliquer sur le bouton <strong>Je prends le risque</strong>.</p></li>
<li><p>At the top of the page, search for <code>xpinstall.signatures.required</code>.</p></li>
<li><p>Double-cliquer sur la ligne <strong>xpinstall.signatures.required</strong> dans les
résultats pour mettre la valeur à <strong>false</strong>.</p></li>
<li><p>Vérifier que <em>NoScript</em> est à nouveau activé.</p>
<p><img class="img" height="190" src="https://staging.tails.boum.org/news/version_3.13.2/xpinstall-false.png" width="617" /></p></li>
</ol>
Claws Mail laisse fuiter en clair les courriers électroniques chiffrés sur le serveur IMAPhttps://staging.tails.boum.org/security/claws_mail_leaks_plaintext_to_imap/index.fr.html2024-03-16T03:21:13Z2015-05-07T12:34:56Z
<p>Nous avons découvert que <em>Claws Mail</em>, le client de messagerie inclus dans
Tails, stocke en clair des copies de tous les messages sur le serveur IMAP
distant, y compris ceux qui sont censés être chiffrés.</p>
<ul>
<li>Lors de l'envoi d'un message, <em>Claws Mail</em> copie ce message en clair
dans la file d'envoi du serveur IMAP avant de chiffrer le message.
<em>Claws Mail</em> efface cette copie en clair après avoir envoyé le message.</li>
<li>Les brouillons <em>Claws Mail</em> sont en clair sur le serveur. Un message
peut être enregistré comme brouillon soit :
<ul>
<li>Manuellement en cliquant sur le bouton <strong>Brouillon</strong> pendant la
rédaction d'un message.</li>
<li>Automatiquement si vous avez sélectionné l'option <strong>enregistrer
automatiquement les messages dans le dossier Brouillon</strong> dans les
préférences de composition. Cette option est désactivée par défaut
dans Tails.</li>
</ul>
</li>
</ul>
<p><strong>Tous les utilisateurs de <em>Claws Mail</em> utilisant IMAP et son module OpenPGP sont concernés.</strong></p>
<p>Les utilisateurs de <em>Claws Mail</em> utilisant POP ne sont pas affectés.</p>
<div class="tip">
Pour savoir si vous utilisez IMAP ou POP, choisissez <span class="menuchoice">
<span class="guimenu">Configuration</span> ▸
<span class="guimenuitem">Édition des comptes…</span></span> et consultez
la colonne <span class="guilabel">Protocole</span> dans la liste des
comptes.
</div>
<p>Malheureusement, nous ne sommes pas encore capables de corriger ce problème
automatiquement et pour tout le monde. Cela nécessiterait soit de modifier
<em>Claws Mail</em>, soit de migrer vers une autre application. Consultez la
section <em>Solutions de contournement</em> ci-dessous pour corriger ce problème
dans votre installation et veuillez avertir votre entourage.</p>
<h1>Solutions de contournement</h1>
<h2>Vérifiez le contenu de votre dossier <strong>Brouillons</strong></h2>
<p>Avant tout, vérifiez le contenu du dossier <strong>Brouillons</strong> sur le serveur,
soit en utilisant <em>Claws Mail</em> soit via l'interface web de votre fournisseur
de messagerie. Supprimez tous les messages en clair qui pourraient y être
stockés à votre insu.</p>
<p>Appliquez alors l'un des deux contournements pour éviter d'autres fuites à
l'avenir.</p>
<h2>Utilisez POP au lieu de IMAP</h2>
<p><em>Claws Mail</em> peut se connecter au serveur de messagerie en utilisant soit le protocole
IMAP soit le protocole POP.</p>
<ul>
<li>Avec IMAP, <em>Claws Mail</em> se synchronise en permanence avec le serveur et
affiche les messages et dossiers qui sont actuellement stockés sur le
serveur. IMAP est plus approprié si vous accédez à vos messages depuis
différents systèmes d'exploitations.</li>
<li>Avec POP, <em>Claws Mail</em> télécharge les messages qui sont dans la boîte de
réception sur le serveur, et peut éventuellement les supprimer du
serveur. POP est plus approprié si vous accéder à vos messages
uniquement depuis Tails et que vous les stockez dans le volume
persistant.</li>
</ul>
<p>Pour en savoir plus, consultez également cette page d'aide Yahoo! sur <a href="https://fr.aide.yahoo.com/kb/IMAP-et-POP-pour-Yahoo-Mail-sln3769.html">la
comparaison des différences entre POP et
IMAP</a>
(cliquez sur la section "Plus d'infos sur IMAP et POP").</p>
<p>POP n'est absolument pas affecté par ce problème de sécurité. En utilisant
POP, seuls les messages chiffrés sont envoyés au serveur. Envisagez donc la
possibilité de basculer vers POP si vous avez un compte de messagerie dédié
à vos activités sur Tails. Pour ce faire :</p>
<ol>
<li><p>Choisissez <strong>Fichier</strong> ▸ <strong>Ajouter une boîte aux lettres</strong> ▸ <strong>MH…</strong> pour
créer une boîte aux lettres locale où vous pourrez télécharger vos messages.</p></li>
<li><p>To store the mailbox in the persistent volume, specify
<code>.claws-mail/Mail</code> as location.
Make sure to type the <code>.</code> before
<code>claws-mail/Mail</code>.</p>
<p> <img class="img" height="246" src="https://staging.tails.boum.org/security/claws_mail_leaks_plaintext_to_imap/add_mailbox.png" width="355" /></p></li>
<li><p>Choisissez <strong>Configuration</strong> ▸ <strong>Édition des comptes…</strong>, sélectionnez
votre compte IMAP dans la liste des comptes, et cliquez sur <strong>Supprimer</strong> pour
le supprimer. Faire cela ne supprime aucun des messages stockés sur le serveur.</p></li>
<li><p>Cliquez sur <strong>Nouveau</strong> et configurez un nouveau compte comme indiqué par votre
fournisseur de messagerie électronique.</p>
<ul>
<li>Dans l'onglet <strong>Général</strong>, soyez sûr que l'option <strong>Protocole</strong> est
configurée avec la valeur <strong>POP3</strong>.</li>
<li><p>Dans l'onglet <strong>Réception</strong>, cliquez sur le bouton <strong>Parcourir</strong> dans
le champ <strong>Dossier de réception par défaut</strong> et sélectionnez le dossier
<strong>INBOX</strong> de la boîte aux lettres que vous avez créé dans l'étape 2.</p>
<p><img class="img" height="318" src="https://staging.tails.boum.org/security/claws_mail_leaks_plaintext_to_imap/select_inbox.png" width="302" /></p></li>
<li><p>Si vous voulez garder sur le serveur une copie des messages reçus,
vérifiez les préférences dans l'onglet <strong>Réception</strong>. Nous vous
recommandons de désactiver l'option <strong>Suppression des messages du
serveur après réception</strong> à moins d'être certain que les messages ne
soient stockés dans le volume persistant.</p></li>
</ul>
</li>
<li><p>Fermez la boîte de dialogue <em>Préférences</em> et la liste des comptes pour retourner
à la fenêtre principale de <em>Claws Mail</em>.</p></li>
<li><p>Cliquez sur le bouton <strong>Relever</strong> pour télécharger tous les messages depuis la
boîte de réception sur le serveur. Les messages dans les autres dossiers ne sont pas téléchargés.</p></li>
</ol>
<h2>Utilisez les dossiers locaux <strong>Drafts</strong> et <strong>Queue</strong></h2>
<p>Si vous voulez continuer à utiliser IMAP, vous devez configurer votre compte
IMAP en utilisant les dossiers <strong>Drafts</strong> et <strong>Queue</strong> stockés dans Tails au
lieux de ceux du serveur. Pour cela :</p>
<ol>
<li><p>Choisissez <strong>Ajouter une boîte aux lettres</strong> ▸ <strong>MH…</strong> pour créer une
boîte aux lettres locale où vos brouillons et messages en instance d'envoi seront enregistrés.</p></li>
<li><p>To store the mailbox in the persistent volume, specify
<code>.claws-mail/Mail</code> as location.
Make sure to type the <code>.</code> before
<code>claws-mail/Mail</code>.</p>
<p> <img class="img" height="246" src="https://staging.tails.boum.org/security/claws_mail_leaks_plaintext_to_imap/add_mailbox.png" width="355" /></p></li>
<li><p>Choisissez <strong>Configuration</strong> ▸ <strong>Édition des comptes…</strong>, sélectionnez
votre compte IMAP dans la liste des comptes, et cliquez sur <strong>Modifier</strong> pour éditer
ses paramètres.</p></li>
<li><p>Sélectionnez <strong>Avancé</strong> dans le panneau de gauche.</p></li>
<li><p>Sélectionnez l'option <strong>Sauvegarder les messages à envoyer (file d'attente) dans</strong>, cliquez sur le bouton <strong>Parcourir</strong>, et
sélectionnez le dossier <strong>Queue</strong> de la boîte aux lettres <strong>MH</strong>.</p></li>
<li><p>Sélectionnez l'option <strong>Sauvegarder les brouillons dans</strong>, cliquez sur le bouton <strong>Parcourir</strong>, et
sélectionnez le dossier <strong>Drafts</strong> de la boîte aux lettres <strong>MH</strong>.</p></li>
</ol>
<p><img class="img" height="221" src="https://staging.tails.boum.org/security/claws_mail_leaks_plaintext_to_imap/local_folders.png" width="551" /></p>
<h1>Solution à long terme</h1>
<p>Quant aux éventuelles solutions à long terme à ce problème, nous envisageons
de :</p>
<ul>
<li><p>Demander à l'équipe de développement de <em>Claws Mail</em> de <a href="http://www.thewildbeast.co.uk/claws-mail/bugzilla/show_bug.cgi?id=2965">corriger le
problème en
amont</a>.
Nous les avons déjà contactés à propos de ce problème. Merci de les aider
à trouver une solution technique si vous le pouvez.</p></li>
<li><p>Remplacer <em>Claws Mail</em> par <em>Icedove</em> (le nom de <em>Mozilla Thunderbird</em> dans
Debian). Nous avons prévu de faire cela depuis plusieurs années, et ce
problème nous incite à réaliser ce changement plus rapidement.</p></li>
</ul>
<h1>Détails techniques</h1>
<h2>Fuite par la file d'attente d'envoi</h2>
<p>Lors de l'envoi d'un message depuis un compte IMAP, <em>Claws Mail</em> réalise les
opérations suivantes :</p>
<ol>
<li><p>Il se connecte sur le serveur IMAP et stocke une copie en clair du
message dans le dossier <strong>Queue</strong> sur le serveur.</p></li>
<li><p>Il chiffre le message localement.</p></li>
<li><p>Il envoi le message chiffré via le serveur SMTP.</p></li>
<li><p>Il se connecte au serveur IMAP et stocke une copie chiffré du
message dans le dossier <strong>Sent</strong> sur le serveur.</p></li>
<li><p>Il se connecte au serveur IMAP et supprime le message en clair
enregistré à l'étape 1 dans le dossier <strong>Queue</strong>.</p></li>
</ol>
Trous de sécurité dans I2P 0.9.13https://staging.tails.boum.org/security/Security_hole_in_I2P_0.9.13/index.fr.html2024-03-16T03:21:13Z2014-07-24T21:15:00Z
<p>Une brèche de sécurité affecte I2P 0.9.13, qui est un composant de Tails 1.1
et plus ancien.</p>
<h1>Portée et gravité</h1>
<p>If you are using I2P in Tails 1.1 and earlier, an attacker can deanonymize
you: they can learn the IP address that identifies you on the Internet.</p>
<p>Pour être capable de réaliser cette attaque :</p>
<ol>
<li><p>l'attaquant doit pouvoir modifier le contenu d'un site web que vous êtes
en train de visiter en utilisant le <a href="https://staging.tails.boum.org/doc/anonymous_internet/Tor_Browser/index.fr.html">Navigateur
Tor</a> de Tails — beaucoup de personnes
sont capables de faire cela ;</p></li>
<li><p>et l'attaquant doit trouver comment utiliser cette brèche de sécurité ;
cette information n'est pas encore publiée, mais il est possible qu'il
l'ait déjà découvert ou qu'il ai été mis au courant d'une manière ou
d'une autre.</p></li>
</ol>
<div class="note">
<p><strong>Tails ne démarre pas I2P par défaut.</strong> Ce choix
de conception a été fait précisément pour
protéger les personnes utilisant Tails qui n'utilisent pas I2P des failles de sécurité
de ce logiciel.</p>
<p>Still, an attacker who would also be able to start I2P on your
Tails, either by exploiting another undisclosed security hole, or by
tricking you into starting it yourself, could then use this I2P
security hole to deanonymize you.</p>
</div>
<h1>Solutions temporaires</h1>
<p>Vous pouvez vous protéger vous-même de cette faille de sécurité jusqu'à ce
qu'il soit corrigé.</p>
<p>Ne démarrez pas I2P dans Tails 1.1 et plus ancien. Vous pouvez vous protéger
d'avantage en enlevant le paquet <code>i2p</code> à chaque fois que vous démarrez
Tails :</p>
<ol>
<li><a href="https://staging.tails.boum.org/doc/first_steps/welcome_screen/administration_password/index.fr.html">Définir un mot de passe
d'administration</a>.</li>
<li><p>Exécutez cette commande dans un <span class="application">Terminal
Root</span> :</p>
<pre><code>apt-get purge i2p
</code></pre></li>
</ol>
<p>Toutefois, si vous avez réellement besoin d'utiliser I2P dans Tails 1.1 :
avant de démarrer I2P, désactivez globalement JavaScript <a href="https://staging.tails.boum.org/doc/anonymous_internet/Tor_Browser/index.fr.html#noscript">avec
NoScript</a> dans le Navigateur
Tor.</p>
<h1>Remerciements</h1>
<p>Cette faille de sécurité nous a été signalé par Exodus Intelligence.</p>
Vous devez mettre Tor à jour pour corriger une vulnérabilité critique de votre anonymathttps://staging.tails.boum.org/security/Upgrade_Tor/index.fr.html2024-03-16T03:21:13Z2011-10-30T15:12:13Z
<div class="tip">
<p>Cette faille de sécurité a été corrigée dans Tails 0.9.</p>
</div>
<p>La version de Tor actuellement livrée dans Tails ne protège pas votre
anonymat
comme elle le devrait. <strong>Cette vulnérabilité est critique.</strong></p>
<p>D'ici à ce qu'une prochaine version de Tails soit (bientôt) publiée, la
seule
façon de faire pour que Tails protège votre anonymat est de <strong>mettre à jour
Tor
à chaque fois que vous démarrez Tails</strong>, en suivant les instructions
ci-dessous.</p>
<p>(À chaque fois, vraiment ? Absolument. Tails est amnésique : les
modifications
effectuées sont perdues au redémarrage.)</p>
<p>Pour mettre Tor à jour, il faut démarrer un <em>Terminal Administrateur</em> depuis
le menu <em>Applications</em> → <em>Accessoires</em>, et y taper la commande suivante :</p>
<pre><code>apt-get update && apt-get install tor && service tor start
</code></pre>
<p>... puis taper sur la touche <em>Entrée</em>, et attendre que la mise à jour se
termine, ce qui peut prendre quelques minutes. À ce moment là, l'icône de
Vidalia, en haut à droite de l'écran, devrait avoir changé, et être passée
de l'oignon vert habituel à un oignon gris, et rayé en rouge. Faire un clic
droit dessus, et choisir <em>Quitter</em> dans le menu qui s'ouvre alors. Enfin,
lancer un nouveau Vidalia depuis le menu <em>Applications</em> → <em>Internet</em>.</p>
<p>Une fois que cette procédure a été effectuée, vous pouvez utiliser Tails de
la
même façon que d'habitude.</p>
<p>Des détails ? Cf. le <a href="https://blog.torproject.org/blog/tor-02234-released-security-patches">billet du projet
Tor</a> à
ce sujet.</p>
Iceweasel envoie un en-tête User-Agent peu communhttps://staging.tails.boum.org/security/Iceweasel_exposes_a_rare_User-Agent/index.fr.html2024-03-16T03:21:13Z2010-09-03T01:15:14Z
<p>Un bug dans le bouton Tor (<a href="https://bugs.debian.org/595375">Debian bug #595375</a>) fait que Iceweasel expose un
User-Agent reconnaissable lorsque le paramètre « Spoof US English Browser »
est désactivé, ce qui est le cas dans T(A)ILS 0.5.</p>
<h1>Impact</h1>
<p>Les personnes qui administrent les systèmes, les gestionnaires de site web
et toutes celles qui peuvent lire les journaux d'un site web sont capables
d'identifier, parmi les personnes qui le visite, celles qui utilisent une
version affectée de l'extension du bouton Tor <em>et</em> qui ont volontairement
désactivé le réglage « Spoof US English Browser ».</p>
<p>Comme les personnes qui utilisent T(A)ILS ne sont pas les seules dans ce
cas, un tel bug atténue l'identification par empreintes.</p>
<p>L'adresse IP du client enregistrée dans les journaux du serveur web lors
d'une connexion de ce type est celle d'un nœud de sortie Tor utilisé par les
personnes utilisant T(A)ILS à cet instant.</p>
<h1>Solution</h1>
<p>Mise à jour vers T(A)ILS 0.6.</p>
<h1>Limiter les effets sur T(A)ILS 0.5</h1>
<p>Les étapes suivantes doivent être faites immédiatement après le démarrage,
<strong>avant</strong> de lancer Iceweasel.</p>
<p>Exécuter la commande suivante dans un terminal :</p>
<pre><code>gksudo gedit /etc/iceweasel/profile/user.js
</code></pre>
<p>... cela ouvre un éditeur de texte. Supprimer la ligne qui indique :</p>
<pre><code>user_pref("extensions.torbutton.spoof_english", false);
</code></pre>
<p>... puis enregistrer et quitter. Vous pouvez maintenant lancer Iceweasel.</p>
<p>Attention ! Changer ce réglage dans la fenêtre de préférences du bouton Tor
n'est <strong>pas</strong> efficace.</p>
<h1>Versions affectées</h1>
<p>Torbutton 1.2.5, inclus dans T(A)ILS 0.5</p>