Lors de l'utilisation d'un ordinateur, toutes les données manipulées sont écrites temporairement dans la mémoire vive : textes, fichiers sauvegardés, mais aussi mots de passe et clés de chiffrement. Plus l'activité est récente, plus il y a de chance que les données soient encore dans la mémoire vive.

Après extinction d'un ordinateur, les données stockées dans la mémoire vive disparaissent rapidement, mais peuvent y rester jusqu'à plusieurs minutes après extinction. Un attaquant ayant accès à l'ordinateur avant que les données en mémoire vive ne disparaissent complètement pourrait récupérer des données importantes de votre session.

Cela peut être fait en utilisant une technique appelée attaque par démarrage à froid ( « cold boot attack » ) . Pour empêcher une telle attaque, les données dans la mémoire vive sont écrasées par des données aléatoires lors de l'extinction de Tails. Cela efface toutes traces de la session sur cette ordinateur.

De plus, un attaquant ayant un accès physique à l'ordinateur pendant l'utilisation de Tails peut récupérer des données de la mémoire vive également. Pour éviter cela, apprenez les différentes méthodes pour éteindre Tails rapidement.

De ce que nous en savons, l'attaque par démarrage à froid n'est pas une méthode fréquente pour récupérer des données.

Dans un rapport de recherche de 2011 (en anglais), l'agence Recherche et développement pour la défense Canada a conclu que les attaques par démarrage à froid peuvent-être utiles dans certains cas pour obtenir des données en mémoire mais ne sont pas une panacée et ont beaucoup de limites imposées par les lois de la physique, lesquelles ne peuvent pas être contournées par cette méthode. Les personnes à l'origine de ce rapport recommandent d'utiliser les attaques par démarrage à froid uniquement en dernier ressort lorsque toutes les autres possibilités ont été exploitées.