Un recent tweet d'Exodus Intel (une entreprise basée à Austin, Texas) a fait pas mal de bruit sur Internet :

"We're happy to see that TAILS 1.1 is being released tomorrow. Our multiple RCE/deanonymization zero-days are still effective. #tails #tor"

Tails fournit de nombreux logiciels, depuis le noyau Linux jusqu'à un bureau fonctionnel et complet, en passant par un navigateur web et de nombreux autres programmes − avec quelques logiciels "maison" en plus.

Des problèmes de sécurité sont découverts tous les mois dans certains de ces programmes. Certaines personnes signalent ces vulnérabilités, ce qui permet de les corriger : c'est la force du logiciel libre et de l'open-source. D'autres personnes ne révèlent pas ces problèmes, mais gagnent beaucoup d'argent en les vendant comme cyber-armes pour des attaquants. Cela n'a rien de nouveau, et ne nous surprend pas.

Nous n'avons pas été contactés par Exodus Intel avant leur tweet. En fait, une version beaucoup plus incisive de ce texte était prête lorsque nous avons finalement reçu un email de leur part. Ils nous informent qu'ils nous communiqueront un rapport dans la semaine. Ils affirment également qu'ils ne publieront pas ces vulnérabilités avant que nous ne les ayons corrigées, et que les personnes utilisant Tails aient eu le temps de mettre leur système à jour. Nous pensons qu'il s'agit là de la façon responsable de divulguer des vulnérabilités, et nous attendons avec impatience de lire ce rapport.

Étant bien conscients de ce genre de menaces, nous travaillons continuellement à améliorer la sécurité de Tails en profondeur. Parmi d'autres tâches, nous travaillons à une intégration d'AppArmor dans Tails, au durcissement du noyau et du navigateur web, ainsi qu'à utiliser des bacs à sable, pour ne citer que quelques exemples.

We are happy about every contribution which protects our users further from deanonymization and helps them to protect their private data, investigations, and their lives. If you are a security researcher, please audit Tails, Debian, Tor or any other piece of software we ship. To report or discuss vulnerabilities you discover, please get in touch with us by sending email to tails@boum.org.

Quiconque désirant participer à Tails pour défendre la vie privée est invité à nous rejoindre !