La distribution Tails (The Amnesic Incognito Live System) est un media de type live-CD et live-USB, basé sur Debian GNU/Linux, visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.
La sortie de la version 1.2 a été annoncée le 16 octobre dernier par l'équipe de développement.
Plus de détails dans la suite de la dépêche sur cette version 1.2, ainsi que sur les
versions mineures 1.1.1 et 1.1.2 sorties depuis la dépêche précédente.
Sommaire
Depuis Tails 1.1
Depuis la dernière dépêche sur le sujet, annonçant la sortie de la version 1.1, les versions mineures 1.1.1 et 1.1.2 ont été publiées.
Les problèmes de sécurité qui avaient été discutés lors de la précédente dépêche ont dû être résolus, au moins en partie, lors de ces sorties correctives. Bien que les failles relevées par Exodus Intelligence n'aient pas été rendus publiques, il semble qu'un certain nombre concerne I2P ce qui explique les modifications apportées à ce logiciel dans la version 1.1.1. La société Exodus Intelligence a d'ailleurs écrit deux billets de blogues où elle livre quelques détails ici et là.
Tails 1.1.1
La version corrective 1.1.1 a été annoncée le 2 septembre.
Correctifs de sécurité
Comme à chaque nouvelle version, des correctifs de sécurité sont ajoutés. Parmi les logiciels qui se sont vus apporter des correctifs, on peut citer Tor (CVE-2014-5117), le noyau Linux (CVE-2014-3534, CVE-2014-4667 et CVE-2014-4943), CUPS (DSA-2990), openssl (DSA-2998), nss (DSA-2994), krb5 (DSA-3000), libav (DSA-3003) gpgme (DSA-3005) ou encore python-imaging (DSA-3009).
Par ailleurs, Tails empêche maintenant dhclient d'envoyer le nom de l'hôte sur le réseau. Tails outrepasse également le nom de machine fourni par le serveur DHCP.
Améliorations et modifications mineures
OpenJDK 6 n'est plus présent ; I2P prefère la version 7 et la présence des deux versions n'est pas nécessaire. Toujours concernant I2P, il faut maintenant ajouter « i2p » à la ligne de commande noyau pour qu'il soit accessible en mode « live », dans le cas contraire, il ne sera pas accessible. Par ailleurs, l'installeur de Tails ne devrait plus mettre à jour les propriétés de partition du système sur les partitions MBR.
Le Torbutton a été mis à jour avec la version 1.6.12.1. Les paquets gnome-user-guide et cups-pk-helper ont été ajoutés améliorant ainsi la documentation.
En ce qui concerne SquashFS, le tri des fichiers afin d'optimiser les accès lors du boot a été amélioré. On devrait donc y gagner lors de l'utilisation d'un Live-DVD. Toujours en ce qui concerne SquashFS, le niveau de compression est plus élevé ce qui réduit la taille de l'ISO de Tails.
Une liste complète et plus technique des changements est disponible en consultant le changelog (en anglais).
Tails 1.1.2
La version corrective 1.1.2 a été annoncée le 25 septembre.
Correctifs de sécurité
Pour cette nouvelle vague de correctifs de sécurité, on peut citer file (DSA-3021), curl (DSA-3022), gnupg (DSA-3024), apt (DSA-3025, DSA-3031), dbus (DSA-3026), libav (DSA-3027) et bien entendu bash (DSA-3032) dont la faille récente « shellshock » avait fait l'objet d'une dépêche ici-même.
Une liste complète et plus technique des changements est disponible en consultant le changelog (en anglais).
Les nouveautés de Tails 1.2
Améliorations et modifications mineures
Le nouveau navigateur web s'appuie maintenant principalement sur le Tor Browser au lieu d'Iceweasel précédemment. La version installée correspond au Tor Browser 4.0 qui est fondé sur Firefox ESR 31.2.0. La faille POODLE n'est ainsi pas exploitable. Par ailleurs, Tor est disponible en version 0.2.5.8-rc.
Plusieurs applications importantes ont été confinées avec AppArmor (la note de sortie ne donne pas plus de détails).
La version 0.9.15 d'I2P est présente. Par ailleurs, un I2P Browser fait son apparition afin d'isoler tout le trafic I2P du Tor Browser. Par ailleurs, I2P démarre automatiquement lors de la connexion au réseau, si l'option de démarrage i2p est ajoutée.
Suite à l'arrêt du développement assez étrange de TrueCrypt, ce logiciel sera retiré de Tails 1.2.1. Ainsi, cette version intègre une documentation qui explique comment ouvrir des volumes TrueCrypt en utilisant cryptsetup qui sera son remplaçant.
syslinux est présent en version 6.03-pre20 ce qui devrait corriger des problèmes de démarrage UEFI sur certains matériels.
Correctifs de sécurité
Concernant les correctifs de sécurités, la note cite plusieurs corrections liées au Tor Browser (MFSA-2014-74, MFSA-2014-75, MFSA-2014-76, MFSA-2014-77, MFSA-2014-79, MFSA-2014-81 et MFSA-2014-82), NSS (DSA-3033), apt (DSA-3047), rsyslog (DSA-3040, DSA-3047) et encore bash (DSA-3035).
Une liste complète et plus technique des changements est disponible en consultant le changelog (en anglais).
Et pour la suite ?
D'après l'annonce qui a été faite au moment de la sortie de Tails 1.0, voici ce que l'on peut attendre pour les futures versions majeures de la distribution.
Tails 2.0 se focalisera sur la soutenabilité et la maintenabilité. La grosse partie consiste à réduire la charge de travail demandée par la création de nouvelles versions de Tails grâce à l'amélioration de l'infrastructure et à l'automatisation des tests. L'objectif est d'être capable de sortir des mises à jour de sécurité le jour même.
Tails 3.0 se focalisera sur les changements internes de Tails pour le rendre plus sécurisé. Cela comprendra un sandboxing (compartimentage) des applications critiques et un durcissement des logiciels.
Tails 4.0 prévoit de s'appuyer sur Debian Jessie.
Aller plus loin
- Site officiel (1031 clics)
- Télécharger Tails (644 clics)
- Documentation en français (397 clics)
- DLFP: Tails 1.1 (57 clics)
# Vérification de la signature de l'iso.
Posté par Serge Leblanc . Évalué à 2.
Est-ce que l'un d'entre vous peut me confirmer que la signature du fichier tails-i386-1.2.iso et bien :
-----BEGIN PGP SIGNATURE-----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=bjFF
-----END PGP SIGNATURE-----
Est-ce que cette information pourrait être incluse dans les prochaines dépêches ?
Merci.
[^] # Re: Vérification de la signature de l'iso.
Posté par voxmundix . Évalué à 3. Dernière modification le 05 novembre 2014 à 16:14.
Mon client bittorent semble en accord avec toi.
A noter que les signatures sont disponible ici:
https://tails.boum.org/torrents/files/tails-i386-1.2.iso.sig
En bonus:
└─ $ ▶ md5sum tails-i386-1.2.iso
f451cee96995a64bc8ff610156363976 tails-i386-1.2.iso
└─ $ ▶ md5sum tails-i386-1.2.iso.sig
7c23b3f3bf2bdb5edc71a3dd15af81ff tails-i386-1.2.iso.sig
[^] # Re: Vérification de la signature de l'iso.
Posté par ben (site web personnel) . Évalué à 6.
Il faut mieux dorénavant se référer uniquement à la signature PGP plutôt qu'au MD5SUM, cf http://arstechnica.com/security/2014/11/crypto-attack-that-hijacked-windows-update-goes-mainstream-in-amazon-cloud/
[^] # Re: Vérification de la signature de l'iso.
Posté par voxmundix . Évalué à 2.
Si tu as un tuto en français qui se lit facilement, je suis preneur car j'ai voulu regarder hier et s'était bien plus prise de tête que de télécharger le torrent et d'ouvrir le fichier avec la signature ^
si non y a aussi sha256 pour les signatures.
[^] # Re: Vérification de la signature de l'iso.
Posté par FefNo . Évalué à 5.
Moi aussi j'ai la même chose.
# tails et git
Posté par Egide Dey . Évalué à 2.
Bonjour,
J'utilise tails depuis un bon moment déjà, c'est génial! Un grand merci!!!
J'aimerais, pour un groupe dont certaines personnes vivent dans un pays peu compréhensif envers certaines idées politiques, avoir un dépôt GIT. Il n'y a rien de compromettant ou d'illégal pour quelqu'un vivant en Europe. Par contre, mes utilisateurs ont besoin de cacher leur identité suivant le pays.
Est-il possible d'utiliser github (ou autre) avec Tails ? Si j'installe GIT (est-ce seulement possible?!?!), est-ce que les communications passeront par TOR ?
Merci d'avance pour vos remarques / réponses / troll !
[^] # Re: tails et git
Posté par claudex . Évalué à 5.
Git fonctionne très bien au dessus de HTTP ou SSH qui peuvent passer par Tor. Par contre, je ne sais si Github accepte les nœud de sortie Tor (et il n'y a sans doute aucune garantie que ça le reste si c'est le cas maintenant), en plus avoir un compte sur un site ne me semble pas terrible niveau vie privée. Sans compter que Git n'est pas vraiment prévu pour cacher la vie privée, une erreur de config et les commits deviennent nominatifs.
Si j'étais toi, je ferrais un dépôt hébergé à part avec des hooks pour anonymiser les commits en cas d'erreur (sans doute pas facile à faire).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: tails et git
Posté par Anonyme . Évalué à 4.
Github fonctionne très bien avec Tor, j'utilise mon compte github principalement avec Tor sans que ca pose de problème particulier. Et pour la vie privée, il me semble qu'il n'y a pas d'obligation à donner son vrai nom pour créer un compte.
[^] # Re: tails et git
Posté par Egide Dey . Évalué à 1.
Merci pour le retour.
J'ai effectivement pu créer un compte sans problèmes depuis Tails. Je peux poser des tickets et autres sans soucis.
Maintenant viendra la question de l'utilisation de GIT, sur Tails, pas seulement via Tor (ce qui ne pose pas de problèmes).
[^] # Re: tails et git
Posté par Egide Dey . Évalué à 1.
Merci pour la réponse.
Pour le côté vie privée, l'idée est de travailler avec tails sur une clé USB, les données (git et autres) étant conservées sur la partition chiffrée. Tournant sur tails, il ne devrait pas y avoir de fuite de données perso.
De plus, ce ne serait utilisé que pour collaborer à un projet précis, pas pour la navigation courante.
Github est bien sûr public, ce qui ne pose pas problème, les documents en questions ayant vocation à être diffusé le plus largement possible. Ce qui pose problème, c'est la localisation de certaines des personnes.
L'aspect de la non-persistance des données en local est aussi important que celui de la sécurité du réseau.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.