- news
- Appel à tester : usurpation d'adresse MAC
Vous pouvez aider Tails ! La fonctionnalité d'usurpation d'adresse MAC est prête à être testée. Cette fonctionnalité empêche le pistage géographique de vos périphériques réseau (et par extension, de vous) en rendant aléatoire leurs adresses MAC.
Si vous avez des compétences en audit de sécurité, vous êtes plus que bienvenue pour passer en revue notre design et notre implémentation.
Contexte
Chaque périphérique réseau (filaire, Wi-Fi/sans-fil, 3G/mobile) possède une adresse MAC, qui est un identifiant unique utilisé pour s'y adresser sur le réseau local. Diffuser ainsi un identifiant unique introduit un certain nombre de soucis potentiels de vie privée pour les utilisateurs de Tails. La géolocalisation en est le principal : observer une adresse MAC à un endroit et un moment donné lie le périphérique correspondant à ces mêmes lieu et moment. Si l'identité réelle du propriétaire du périphérique est connue, leurs mouvements peuvent êtres déterminés. Afin d'empêcher cela, il est possible de temporairement changer l'adresse MAC de manière aléatoire à chaque démarrage, ce qui est appelé "usurpation d'adresse MAC".
Comment télécharger l'image de test
Téléchargez la dernière ISO de test depuis build_Tails_ISO_devel.Gardez à l'esprit que c'est une image de test. Ne l'utilisez pas pour quoi que ce soit d'autre que pour tester cette fonctionnalité.
Comment utiliser l'usurpation d'adresse MAC dans Tails
L'usurpation d'adresse MAC est activée par défaut dans cette image de test. Vous pouvez changer cela avec une option de démarrage. La documentation (préliminaire) sur l'usurpation d'adresse MAC essaye d'expliquer les situations dans lesquelles il peut s'avérer une bonne idée de garder cette option activée. Cela dit, s'agissant uniquement d'une version de test, nous vous pressons de ne pas l'utiliser pour quoi que ce soit de sérieux, et si possible, de tester à la fois l'option activée et désactivée.
Que tester
Pour chaque problème d'usurpation d'adresse MAC que vous rencontrerez en utilisant cette ISO de test, veuillez inclure les résultats des commandes suivantes quand vous nous le signalerez (note : cela requière la configuration d'un mot de passe d'administration) :
sudo grep spoof-mac /var/log/syslog
sudo grep unblock-network /var/log/syslog
En particulier, nous aimerions que vous fassiez particulièrement attention aux choses suivantes :
Vérifier que la configuration d'usurpation d'adresse MAC est bien appliquée
Veuillez vérifier que la configuration d'usurpation d'adresse MAC que vous sélectionnez est bien appliquée en exécutant les commandes suivantes :
. /usr/local/lib/tails-shell-library/hardware.sh
for i in $(get_all_ethernet_nics); do
echo "Interface $i"
macchanger $i
done
Pour chaque périphérique réseau vous obtiendrez une entrée ressemblant à cela :
Interface eth0
Permanent MAC: 12:34:56:78:90:ab (unknown)
Current MAC: 12:34:56:f4:fb:22 (unknown)
La « Permanent MAC » est l'adresse MAC unique et « réelle » du périphérique réseau ; la « Current MAC » est celle qui lui est donnée à ce moment là, usurpée ou non. En d'autres termes :
si elles sont différentes, alors l'usurpation d'adresse MAC est activée ;
si elles sont identiques, alors l'usurpation d'adresse MAC est désactivée.
Merci de nous signaler tout résultats inattendus.
Problèmes de listes d'autorisation d'adresses MAC
Certains réseaux sans-fil sont configurés pour ne permettre la connexion qu'à des périphériques possédant certaines adresses MAC, c'est ce qu'on appelle la liste d'autorisation des adresses MAC. L'usurpation d'adresse MAC causera des soucis sur de tels réseaux. C'est pourquoi Tails dispose d'un mécanisme rudimentaire pour la détecter et affichera une notification informant de la marche à suivre.
Si vous avez accès à un réseau sans-fil qui utilise une liste d'autorisation d'adresses MAC, connectez-vous à celui-ci avec l'usurpation d'adresse MAC activée et vérifiez que Tails affiche une notification avec le titre :"Network connection blocked?".
Note : le mécanisme de détection de liste d'autorisation d'adresses MAC de Tails marche uniquement avec les réseaux sans-fil (Wi-Fi).
Problèmes réseau
Veuillez signaler tout problème de périphérique réseau et de connexion, par exemple si un de vos périphériques réseau n'est pas du tout détecté par Tails, si la connexion réseau échoue, ou si la connexion réseau s'établit mais ne fonctionne pas. Vérifiez également que vous ne rencontrez pas les mêmes problèmes avec Tails 0.22.
Problèmes connus
Pas de protection pour les périphériques branchés à chaud après connexion
Afin d'empêcher la vraie adresse MAC de fuiter lorsque l'usurpation d'adresse MAC échoue pour un périphérique réseau, Tails dispose d'une sécurité intégrée qui désactive simplement le périphérique. Pour le moment cela ne fonctionne que pour les périphériques réseau présents avant connexion via Tails Greeter ; ce mécanisme de sécurité ne fonctionne par exemple pas pour les cartes Wi-Fi branchées après.