- news
- À propos des vulnérabilités jour zéro (0day), des failles, et de leur publication
Un recent tweet d'Exodus Intel (une entreprise basée à Austin, Texas) a fait pas mal de bruit sur Internet :
"Nous sommes heureux de voir que TAILS 1.1 sera publié demain. Nos nombreuses failles RCE 0day sont encore utilisables. #tails #tor"
Tails fournit de nombreux logiciels, depuis le noyau Linux jusqu'à un bureau fonctionnel et complet, en passant par un navigateur web et de nombreux autres programmes − avec quelques logiciels "maison" en plus.
Des problèmes de sécurité sont découverts tous les mois dans certains de ces programmes. Certaines personnes signalent ces vulnérabilités, ce qui permet de les corriger : c'est la force du logiciel libre et de l'open-source. D'autres personnes ne révèlent pas ces problèmes, mais gagnent beaucoup d'argent en les vendant comme cyber-armes pour des attaquants. Cela n'a rien de nouveau, et ne nous surprend pas.
Nous n'avons pas été contactés par Exodus Intel avant leur tweet. En fait, une version beaucoup plus incisive de ce texte était prête lorsque nous avons finalement reçu un email de leur part. Ils nous informent qu'ils nous communiqueront un rapport dans la semaine. Ils affirment également qu'ils ne publieront pas ces vulnérabilités avant que nous ne les ayons corrigées, et que les personnes utilisant Tails aient eu le temps de mettre leur système à jour. Nous pensons qu'il s'agit là de la façon responsable de divulguer des vulnérabilités, et nous attendons avec impatience de lire ce rapport.
Étant bien conscients de ce genre de menaces, nous travaillons continuellement à améliorer la sécurité de Tails en profondeur. Parmi d'autres tâches, nous travaillons à une intégration d'AppArmor dans Tails, au durcissement du noyau et du navigateur web, ainsi qu'à utiliser des bacs à sable, pour ne citer que quelques exemples.
Nous sommes heureux de chaque contribution qui permet de mieux protéger les personnes qui utilisent Tails contre la désanonymisation et leur permet de protéger leurs données privées, leurs recherches et leurs vies. Si vous êtes chercheurs en sécurité informatique, vous êtes invités à réaliser un audit de Tails, Debian, Tor ou de n'importe quel logiciel que nous livrons. Pour nous faire parvenir les vulnérabilités que vous découvrez, ou en discuter, vous pouvez nous écrire à info@tails.net.
Quiconque désirant participer à Tails pour défendre la vie privée est invité à nous rejoindre !