Avoir confiance en Tails
Télécharger Tails 0.23 March 19, 2014

La confiance est une question délicate, et c'est bien pourquoi la sécurité est un problème compliqué, notamment concernant les communications via internet et l'informatique de manière générale. Avez-vous confiance dans Tails et ses développeurs ? Croyez-vous que nous avons mis des "portes d'entrées" dans Tails afin de prendre le contrôle de votre ordi, ou que Tails génère des clés de chiffrement corrompues afin de permettre au gouvernement de vous espionner ? Avez-vous simplement confiance en notre parole ?

Peu importe votre opinion en la matière, vous devriez vous demandez comment vous êtes arrivé à cette conclusion. La confiance autant que son absence doivent être basées sur des faits, pas sur des pressentiments, une suspicion parano, des on-dit à propos de nous. Bien sûr, on prétend être honnête, mais une prétention écrite ne vaut rien. Afin de faire un choix éclairé, vous devez prendre du recul et considérez ce dont fait partie Tails, ses liens, et pourquoi pas comment d'autres nous font confiance.

  1. Logiciel libre et examen publique
  2. Avoir confiance dans Debian GNU/Linux
  3. Avoir confiance en Tor
  4. Avoir confiance en Tails

Logiciel libre et examen publique

Un logiciel libre, comme Tails, permet à ceux qui l'utilisent de regarder précisément en quoi consiste ce système d'exploitation et comment il fonctionne, à partir du code source, qui doit être disponible pour tous. Ainsi, un audit approfondi du code peut révéler la présence de code malveillant, comme une porte d'entrée par exemple. De plus, il est possible de construire le logiciel depuis le code source, et de comparer le résultat obtenu avec n'importe quelle version déjà existante et publiée, telles que les images ISO de Tails que vous pouvez télécharger. Il est ainsi possible de savoir si la version distribuée est celle provenant du code source, ou bien si des changements ont été effectués subrepticement au passage.

Bien sûr, la plupart des gens n'ont pas notre savoir en la matière, ni les compétences ou le temps demandé pour faire cela, mais grâce à la politique d'examen publique, n'importe qui peut avoir un certain degré de confiance implicite dans les logiciels libres, au moins si ils sont assez populaires pour que d'autres développeurs jettent un oeil au code source et fassent ce que nous venons de décrire. Après tout, il y a une forte tradition dans la communauté du logiciel libre de faire savoir tout problème sérieux découvert dans un logiciel.

Avoir confiance dans Debian GNU/Linux

La grande majorité des logiciels livrés dans Tails proviennent de la distribution Debian GNU/Linux. Debian est la distribution Linux dont, et c'est de notoriété publique, les logiciels fournis via les paquets subissent un examen public des plus approfondis. Debian n'est pas seulement une des plus importante distributions Linux, c'est également une des plus populaires, sur laquelle bien d'autres distributions sont basées. Ubuntu Linux par exemple, est basée sur Debian, et ça vaut pour tous ses dérivés, comme Linux Mint. Il y a donc un nombre incalculable de personnes utilisant les logiciels fournis dans Debian, et un grand nombre de développeurs vérifient leur intégrité. Des problèmes de sécurités très importants ont été découverts (comme la fameuse vulnérabilité SSH PRNG Debian), mais des portes d'entrées, ou d'autres types de trous de sécurités intentionnels n'ont jamais été trouvés, à ce qu'on sait.

Avoir confiance en Tor

L'anonymat de Tails est basé sur Tor, développé par le Tor Project. Le développement de Tor est soumis à de nombreux examens publics, à la fois académiques (recherches sur des attaques et défenses) et privés (le code de Tor a subit moult audits externes, et plusieurs développeurs indépendants l'ont examiné pour d'autres raisons). Encore une fois, des problèmes de sécurité ont été trouvés, mais rien de malveillant comme une porte d'entrée -- nous dirions que seuls des adeptes de la théorie du complot mal informés spéculent sur des portes d'entrées intentionnelles dans Tor à l'heure actuelle. Enfin, le modèle de confiance de Tor rend compliqué pour une seule personne de capturer le traffic d'un individu et de l'identifier.

Avoir confiance en Tails

On pourrait dire que Tails est l'union de Debian et Tor. Ce qu'on fait essentiellement, c'est de coller le tout ensemble. Du coup, si vous faites confiance à la fois à Tor et à Debian, ce qu'il reste pour faire confiance à Tails est de faire confiance à notre manière de "coller tout ensemble". Comme dit plus haut, Tails est un logiciel libre, son code source est disponible à tout examen, et il consiste principalement en une spécification de quels logiciels doivent être installés depuis Debian, et comment ils doivent être configurés. Bien que Tails ne bénéficie pas d'autant d'attention que Debian ou Tor, on a une attention de la part de la communauté Tor, ainsi que de la part de certaines communautés de sécurité générale (voir notre page d'audits). Étant donné que le code de Tails est plutôt petit et exempt de complexité, on est bien placé par rapport à d'autres projects de même nature. En passant, notre page conception de Tails est un bon point de départ pour comprendre comment Tails fonctionne.

Avec tout ceci en tête (qu'idéalement vous devriez essayer de vérifier), vous devriez pouvoir faire un choix éclairé sur le fait de faire confiance ou non à Tails.