Comment la récente vulnérabilité du système d’exploitation Tails affecte les journalistes et SecureDrop

Traduction de https://pressfreedomfoundation.org/blog/2014/07/how-recent-tails-operating-system-vulnerability-affects-journalists-securedrop - How the Recent Tails Operating System Vulnerability Affects Journalists and SecureDrop
écrit par Runa A. Sandvik, @runasand sur Twitter.

Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire.

Comment la récente vulnérabilité du système d’exploitation Tails affecte les journalistes et SecureDrop

Mercredi après-midi, l’entreprise de recherche de de vulnérabilité et d’exploits Exodus Intelligence a révélé l’existence d’une faille de sécurité qui permettrait à un attaquant de deanonymizer un utilisateur de Tails, le système d’exploitation que de nombreux journalistes utilisent pour communiquer en toute sécurité avec des sources et que nous avions déjà parlé. Tails faisant partie intégrante de SecureDrop, notre système open-source de soumission dédié au whistleblower / lanceur d’alerte, nous avons donc voulu expliquer comment la vulnérabilité affecte les utilisateurs de ce système.

La vulnérabilité se situe dans le logiciel I2P, qui est livré avec Tails par défaut et peut être utilisé pour se connecter à un réseau d’anonymat alternatif. Pour que cette attaque fonctionne, l’utilisateur devra lancer manuellement le logiciel I2P et afficher le contenu que l’attaquant contrôle (par exemple en étant poussé à visiter un site Web spécifique). Les journalistes et les sources qui utilisent Tails pour accéder SecureDrop ne sont pas vulnérables à cette attaque à moins qu’ils ne lancent manuellement le logiciel I2P.

L’équipe de Tails et l’équipe d’I2P ont tous deux reçu des détails sur cette vulnérabilité et travaillent sur son analyse. Les observations initiales des développeurs d’I2P suggère que l’exploitation de la faille repose sur l’utilisation de JavaScript.

JavaScript est un langage de programmation largement utilisé pour créer des sites web plus interactif. Au cours des dernières années, il est devenu quasiment omniprésent et activé par défaut dans la plupart des navigateurs. Malheureusement, le JavaScript est également une source commune de failles de sécurité au sein des navigateurs.

Par le passé, les exploits JavaScript ont été utilisés à la fois par le FBI et la NSA pour attaquer les utilisateurs du réseau d’anonymisation Tor. Compte tenu de ces tendances, nous avons longtemps encouragé les utilisateurs de SecureDrop à désactiver JavaScript pour se protéger contre les logiciels malveillants qui pourrait l’utiliser pour attaquer leur navigateur et potentiellement les désanonymizer.

JavaScript n’est pas la seule source potentielle de tels exploits, mais étant donné son utilisation dans les récentes attaques, nous croyons qu’il est prudent de le désactiver. Cette vulnérabilité ne fait que confirmer ce sentiment. Pour ce faire, nous recommandons que les sources (et que chacun) utilisent l’extension NoScript. L’extension est incluse dans Tails et le Tor Browser par défaut. Pour bloquer tout le JavaScript, cliquez simplement sur l’icône de NoScript sur la gauche de la barre d’adresse et sélectionnez "Interdire les Scripts (conseillé)".

Dans un article publié jeudi soir, les développeurs de Tails suggèrent de se protéger plus efficacement en supprimant complètement le logiciel I2P à chaque fois que vous démarrez le système d’exploitation. Pour ce faire, définissez un mot de passe d’administration et exécutez la commande suivante dans le terminal : sudo apt-get purge I2P.

Cet incident montre aussi pourquoi il est essentiel que nous continuions à soutenir des projets de logiciels libres tels que Tails, afin qu’ils aient suffisamment de fonds pour pouvoir identifier et corriger les vulnérabilités potentielles rapidement. Actuellement, nous avons un crowdfunding pour quatre de ces outils libres et open-source, y compris Tails et le projet Tor. S’il vous plaît, envisager de faire don pour soutenir ces outils qui apportent une meilleur protection des communications des journalistes et des sources.