Tails en multiboot sur clef USB

, par  Genma , popularité : 5%

FACIL, pour l’appropriation collective de l’informatique libre (FACIL), a lancé un projet de clef USB proposant différentes distributions Linux en multiboot (http://goteo.org/project/cle-facil/?lang=fr). Parmi les différentes distributions, il y a Tails.

L’équipe de Tails a été informée de ce projet par un des créateurs et
Sajolida sur la mailling-liste de Tails, a écrit un texte exprimant les réserves de l’équipe de Tails quand à ce type d’initiative. Les propos m’ont semblé intéressant à partager, je mets donc le texte original ainsi que sa traduction en français.

Le mail de Sajolida

Unfortunately, it is currently very difficult for a user to be able to verify the authenticity of Tails once installed on a USB stick. As security is meant to be used as a very secure environment, we believe that distributing preinstalled version of Tails is currently pretty much incompatible with our mission.
See https://labs.riseup.net/code/issues/7269.

Plus, be very careful in the way that you boot from the ISO as the set of command line arguments passed to the live system can completely break some of the security built in Tails. So in case of doubt, ask us for a review of your code.

I also understand that people won’t be able to create a persistent volume on this USB stick. Which is a very popular feature of Tails, and pretty much needed if you want to do serious stuff with it. See https://tails.boum.org/doc/first_steps/persistence/

All in all, I think that you should make it clear on your product that the version of Tails included should only be used for testing and educational purpose but shouldn’t be relied upon for security.

La traduction

Malheureusement, il est actuellement très difficile pour un utilisateur d’être en mesure de vérifier l’authenticité de Tails une fois que celui-ci est installé sur une clé USB. Comme Tails est destiné à être utilisé comme un environnement très sécurisé, nous pensons que la distribution d’une préinstallée de Tails est actuellement incompatible avec notre mission. Voir https://labs.riseup.net/code/issues/7269.

De plus, il faut être très prudent dans la façon dont vous démarrez à partir de la ISO, car l’ensemble des arguments de la ligne de commande passés au système au lancement peut complètement casser une partie de la sécurité intégrée dans Tails. De ce fait, en cas de doute, vous pouvez nous demander une revue de votre code.

Je comprends aussi que les gens ne seront pas en mesure de créer un volume persistant sur cette clé USB. C’est pourtant une fonction très populaire de Tails, et qui est nécessaire si l’on veut en faire un usage sérieux.. Voir https://tails.boum.org/doc/first_steps/persistence/.

Dans l’ensemble, je pense que vous devriez préciser sur votre produit que la version de Tails inclus ne doit être utilisé que pour des tests et dans un but éducatif, mais ne doit pas être utilisé dans un contexte de sécurité.

Pour comprendre, réfléchir et aller plus loin

En quelques lignes et via un mail, on voit que la sécurité, ce n’est pas si simple que ça. Que c’est quelque chose de complexe et qu’il ne suffit pas d’installer et de lancer Tails pour être en parfaite sécurité. Car est-on sûr de la version de Tails que l’on utilise ? A-t-on vérifié son intégrité ? (voir à ce sujet Comment vérifier l’intégrité d’un fichier que l’on télécharge ? ou encore Comment vérifier l’intégrité du TorBrowser quand on le télécharge ?).

Tails n’est pas figé, évolue régulièrement, des failles sont découvertes et corrigées.

Tails n’est qu’une brique dans un ensemble de règles de sécurité. A-t-on confiance dans le matériel qu’on utilise (le clavier peut enregistrer la frappe au niveau matériel, c’est pour cela que Tails propose un clavier virtuel). Quels sites va-t-on consulter ? Se connectera-t-on avec son identifiant qu’on utilise dans d’autres conditions (dans le cas d’un pseudonymat par exemple).

Ce sont toutes ces questions (et bien d’autres encore) qu’il faut se poser. Il faut chercher à comprendre, toujours plus en apprendre, ne rien laisser au hasard. Oui, c’est compliqué. Mais la sécurité est à ce prix. Et on fera forcément une erreur. On en fait toujours. Mais essayons de le les minimiser.