Tor Project et Tails : Une Alliance Stratégique pour la Liberté en Ligne

Posted On 21 Oct 2024

Le 26 septembre 2024, deux acteurs majeurs de la protection de la vie privée en ligne, le Tor Project et Tails, ont annoncé la fusion de leurs opérations. Cette union marque une étape importante dans la lutte contre la censure et la surveillance numérique mondiale.

L’histoire de Tor et Tails est intimement liée. Depuis la première sortie de Tails en 2009, annoncée via une liste de diffusion Tor, les deux équipes ont régulièrement collaboré, partageant une mission commune de protection des utilisateurs contre la surveillance. En intégrant pleinement Tails sous l’égide de Tor, cette fusion simplifie les opérations de Tails tout en garantissant une plus grande efficacité dans le développement et la gestion des ressources.

Cette intégration permet à Tails de se concentrer sur son cœur de métier : maintenir et améliorer le système d’exploitation. En rejoignant le cadre plus large de Tor, Tails se libère des contraintes liées à la gestion de la collecte de fonds, des finances et des ressources humaines, tout en bénéficiant de la structure organisationnelle plus vaste de Tor. Selon intrigeri, chef d’équipe de Tails, cette collaboration est perçue comme un retour aux sources, offrant un soulagement considérable en matière de gestion et une opportunité de se concentrer sur l’essentiel.

Une réponse aux menaces mondiales

La fusion entre ces deux entités survient à un moment critique, où les menaces numériques ne cessent de croître. La censure, la surveillance de masse et l’espionnage en ligne affectent de plus en plus de personnes à travers le monde, en particulier dans des environnements répressifs. Tor et Tails se positionnent ainsi comme des outils essentiels pour protéger les activistes, journalistes, et les citoyens ordinaires contre ces attaques sur la vie privée.

Alors que Tor permet d’anonymiser les activités en ligne via son navigateur, Tails va plus loin en sécurisant l’ensemble du système d’exploitation. Ensemble, ces outils fournissent une défense complète, aussi bien au niveau réseau qu’au niveau du système, pour protéger les communications et les données sensibles des utilisateurs.

De nouvelles opportunités de formation et de sensibilisation

L’une des retombées positives de cette union est l’extension des opportunités de formation. Jusqu’à présent, les efforts pédagogiques du Tor Project étaient principalement axés sur l’utilisation du Tor Browser. Avec l’intégration de Tails, Tor pourra proposer des programmes de formation plus complets, couvrant un éventail plus large de scénarios de sécurité et répondant aux besoins spécifiques des utilisateurs dans des environnements à haut risque. Cela inclut la protection des journalistes, des activistes, ou encore des défenseurs des droits humains, qui se fient souvent à ces outils pour mener à bien leur travail sans être surveillés.

Pendant ce temps… faille corrigée pour TOR

Le navigateur Tor a récemment été la cible d’une vulnérabilité exploitée activement par des cybercriminels. La faille, connue sous l’identifiant CVE-2024-9680, a été corrigée la semaine dernière via un correctif d’urgence publié par l’équipe de Tor. Ce bug a également touché le navigateur Firefox de Mozilla, et bien que les utilisateurs de Firefox aient rapidement reçu une mise à jour, les utilisateurs de Tor sont restés particulièrement vulnérables jusqu’à ce correctif.

La vulnérabilité identifiée sous le nom CVE-2024-9680 est un type de bug connu sous le nom de « use-after-free » (utilisation après libération). Ce genre de faille survient lorsqu’un programme tente d’accéder à une zone de mémoire qui a déjà été libérée, provoquant ainsi un comportement imprévisible du programme, souvent exploité par des attaquants pour exécuter du code malveillant. Dans ce cas précis, la vulnérabilité permettait aux cybercriminels d’exécuter du code malveillant dans le processus de contenu du navigateur Tor, où le contenu Web est chargé et rendu.

Découverte par un chercheur en cybersécurité d’ESET, cette faille critique a rapidement attiré l’attention des équipes de Mozilla et de Tor. Bien que la Fondation Mozilla ait d’abord corrigé cette faille dans son propre navigateur Firefox, Tor a dû s’adapter et publier une mise à jour d’urgence pour protéger ses utilisateurs. La gravité de cette vulnérabilité a été confirmée par son score CVSS (Common Vulnerability Scoring System) de 9,8 sur 10, un indice qui signale une vulnérabilité critique.

Ce qui est particulièrement inquiétant avec cette faille, c’est qu’elle ne nécessite aucune interaction de la part de l’utilisateur pour être exploitée. Cela signifie qu’un utilisateur de Tor, simplement en visitant une page Web contenant du contenu malveillant, aurait pu voir son navigateur compromis. Pire encore, l’exploit en question a une faible complexité et peut être déployé à distance, ce qui le rend particulièrement attrayant pour des attaques automatisées de grande ampleur.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.