Les responsables du projet Tails ont émis un avertissement indiquant que le navigateur Tor fourni avec le système d’exploitation n’est pas sûr à utiliser pour accéder ou saisir des informations sensibles.
« Nous vous recommandons d’arrêter d’utiliser Tails jusqu’à la sortie de la version 5.1 (31 mai) si vous utilisez le navigateur Tor pour des informations sensibles (mots de passe, messages privés, informations personnelles, etc.) », le projet mentionné dans un avis publié cette semaine.
Tails, abréviation de The Amnesic Incognito Live System, est une distribution Linux basée sur Debian axée sur la sécurité et visant à préserver la confidentialité et l’anonymat en se connectant à Internet via le réseau Tor.
L’alerte survient alors que Mozilla a déployé le 20 mai 2022 des correctifs pour deux failles zero-day critiques dans son navigateur Firefox, dont une version modifiée sert de base au navigateur Tor.
Suivies sous les noms CVE-2022-1802 et CVE-2022-1529, les deux vulnérabilités sont ce que l’on appelle pollution prototype qui pourraient être militarisés pour obtenir l’exécution de code JavaScript sur des appareils exécutant des versions vulnérables de Firefox, Firefox ESR, Firefox pour Android et Thunderbird.
« Par exemple, après avoir visité un site Web malveillant, un attaquant contrôlant ce site Web peut accéder au mot de passe ou à d’autres informations sensibles que vous envoyez ensuite à d’autres sites Web au cours de la même session Tails », indique l’avis de Tails.
Les bogues étaient démontré par Manfred Paul lors de la 15e édition du concours de piratage Pwn2Own tenu à Vancouver la semaine dernière, pour lequel le chercheur a reçu 100 000 $.
Cependant, les navigateurs Tor qui ont le « Le plus sûr » Le niveau de sécurité activé ainsi que le client de messagerie Thunderbird dans le système d’exploitation sont immunisés contre les failles car JavaScript est désactivé dans les deux cas.
De plus, les faiblesses ne brisent pas l’anonymat et les protections de cryptage intégrées au navigateur Tor, ce qui signifie que les utilisateurs de Tails qui ne gèrent pas les informations sensibles peuvent continuer à utiliser le navigateur Web.
« Cette vulnérabilité sera corrigée dans Tails 5.1 (31 mai), mais notre équipe n’a pas la capacité de publier une version d’urgence plus tôt », ont déclaré les développeurs.