Une brèche de sécurité affecte I2P 0.9.13, qui est un composant de Tails 1.1 et plus ancien.

Portée et gravité

Si vous utilisez I2P dans Tails 1.1 et plus ancien, un attaquant peut vous désanonymiser : il peut découvrir l'adresse IP qui vous identifie sur Internet.

Pour être capable de réaliser cette attaque :

  1. l'attaquant doit pouvoir modifier le contenu d'un site web que vous êtes en train de visiter en utilisant le Navigateur Tor de Tails — beaucoup de personnes sont capables de faire cela ;

  2. et l'attaquant doit trouver comment utiliser cette brèche de sécurité ; cette information n'est pas encore publiée, mais il est possible qu'il l'ait déjà découvert ou qu'il ai été mis au courant d'une manière ou d'une autre.

Tails ne démarre pas I2P par défaut. Ce choix de conception a été fait précisément pour protéger les personnes utilisant Tails qui n'utilisent pas I2P des failles de sécurité de ce logiciel.

Pour autant, un attaquant qui serait capable de démarrer I2P sur votre Tails, soit en exploitant un autre trou de sécurité inconnu ou en vous trompant pour que vous le démarriez vous-même, pourrait alors utiliser cette faille de sécurité I2P pour vous désanonymiser.

Solutions temporaires

Vous pouvez vous protéger vous-même de cette faille de sécurité jusqu'à ce qu'il soit corrigé.

Ne démarrez pas I2P dans Tails 1.1 et plus ancien. Vous pouvez vous protéger d'avantage en enlevant le paquet i2p à chaque fois que vous démarrez Tails :

  1. Définir un mot de passe d'administration.

  2. Exécutez cette commande dans un Terminal Root :

    apt-get purge i2p

Toutefois, si vous avez réellement besoin d'utiliser I2P dans Tails 1.1 : avant de démarrer I2P, désactivez globalement JavaScript avec NoScript dans le Navigateur Tor.

Remerciements

Cette faille de sécurité nous a été signalé par Exodus Intelligence.