Vous pouvez aider Tails ! La fonctionnalité d'usurpation d'adresse MAC est prête à être testée. Cette fonctionnalité empêche le pistage géographique de vos périphériques réseau (et par extension, de vous) en rendant aléatoire leurs adresses MAC.

Si vous avez des compétences en audit de sécurité, vous êtes plus que bienvenue pour passer en revue notre design et notre implémentation.

Contexte

Chaque périphérique réseau (filaire, Wi-Fi/sans-fil, 3G/mobile) possède une adresse MAC, qui est un identifiant unique utilisé pour s'y adresser sur le réseau local. Diffuser ainsi un identifiant unique introduit un certain nombre de soucis potentiels de vie privée pour les utilisateurs de Tails. La géolocalisation en est le principal : observer une adresse MAC à un endroit à un moment donné lie le périphérique correspondant à ces mêmes lieu et moment. Si l'identité réelle du propriétaire du périphérique est connue, leurs mouvements peuvent êtres déterminés. Afin d'empêcher cela, il est possible de temporairement changer l'adresse MAC de manière aléatoire à chaque démarrage, ce qui est appelé "usurpation d'adresse MAC".

Comment télécharger l'image de test

Téléchargez la dernière ISO de test depuis build_Tails_ISO_devel.Gardez à l'esprit que c'est une image de test. Ne l'utilisez pas pour quoi que ce soit d'autre que pour tester cette fonctionnalité.

Pour vérifier la téléchargement, utilisez le fichier .shasum. Il est signé avec la clé OpenPGP 0xD83A438B2F916605.

Comment utiliser l'usurpation d'adresse MAC dans Tails

L'usurpation d'adresse MAC est activée par défaut dans cette image de test. Vous pouvez changer cela avec une option de démarrage. La documentation (préliminaire) sur l'usurpation d'adresse MAC essaye d'expliquer les situations dans lesquelles il est peut s'avérer une bonne idée de garder cette option activée. Cela dit, s'agissant uniquement d'une version de test nous vous pressons de ne pas l'utiliser pour quoi que ce soit de sérieux, et si possible, de tester à la fois l'option activée et désactivée.

Que tester

Pour chaque problème d'usurpation d'adresse MAC que vous rencontrerez en utilisant cette ISO de test, veuillez inclure les résultats des commandes suivantes quand vous nous le signalerez (note : cela requière la configuration d'un mot de passe d'administration) :

sudo grep spoof-mac /var/log/syslog
sudo grep unblock-network /var/log/syslog

En particulier, nous aimerions que vous fassiez spécialement attention aux choses suivantes :

Vérifier que la configuration d'usurpation d'adresse MAC est forcée

Veuillez vérifier que la configuration d'usurpation d'adresse MAC que vous sélectionnez est forcée en exécutant les commandes suivantes :

. /usr/local/lib/tails-shell-library/hardware.sh
for i in $(get_all_ethernet_nics); do
  echo "Interface $i"
  macchanger $i
done

Pour chaque périphérique réseau vous obtiendrez une entrée ressemblant à cela :

Interface eth0
Permanent MAC: 12:34:56:78:90:ab (unknown)
Current   MAC: 12:34:56:f4:fb:22 (unknown)

La "Permanent MAC" est l'unique adresse MAC, la "vraie", du périphérique réseau ; la "Current MAC" est celle qui lui est donnée sur le moment, usurpée ou non. En d'autres termes :

  • si elles sont différentes, alors l'usurpation d'adresse MAC est activée ;

  • si elles sont identiques, alors l'usurpation d'adresse MAC est désactivée.

Merci de nous signaler tout résultats inattendus.

Problèmes de filtrage d'adresses MAC

Certains réseaux sans-fil sont configurés pour seulement permettre la connexion de périphériques avec une certaine adresse MAC, cela s'appelle le filtrage d'adresse MAC. L'usurpation d'adresse MAC causera des soucis sur de tels réseaux. Cela dit, Tails a un mécanisme rudimentaire pour les détecter, et affichera une notification à propos de la marche à suivre.

Si vous avez accès à un réseau sans-fil qui utilise le filtrage d'adresse MAC, alors connectez-vous à celui-ci avec l'usurpation d'adresse MAC activée et vérifiez que Tails affiche une notification avec le titre :"Network connection blocked?".

Note : le mécanisme de détection de filtrage d'adresse MAC de Tails marche uniquement avec les réseaux sans-fil (Wi-Fi).

Problèmes réseau

Veuillez signaler tout problème de périphérique réseau et de connexion, e.g si un de vos périphériques réseau n'est pas du tout détecté par Tails, si la connexion réseau échoue, ou si la connexion réseau s'établit mais ne fonctionne pas. Vérifiez également que vous ne rencontrez pas les mêmes problèmes avec Tails 0.22.

Problèmes connus

Pas d'effet sur les périphériques branchés après connexion

Afin d'empêcher la vraie adresse MAC de fuiter lorsque l'usurpation ne marche pas pour certains périphériques réseaux, Tails a un mode sans échec qui désactive simplement ces périphériques. Pour le moment cela marche uniquement pour les périphériques réseau présents avant connexion via Tails Greeter ; le mode sans échec ne marche pas pour les cartes Wi-Fi branchées après ça par exemple.