Bricole it Yourself: installer TailsOS, le Linux anonyme sur clé
Publié le 9 juin 2015 par Robin Lambert
Alors que la loi renseignement est en passe d’être votée, échapper aux oreilles indiscrètes devient de plus en plus nécessaire. TailsOS est un système d’exploitation libre, anonymisant et amnésique qui tient sur une clé USB. Ce BiY (niveau confirmé) en donne le mode d’emploi pas à pas.
«Dans le futur, chacun aura le droit à son quart d’heure d’anonymat.»
Jean-Marc Manach (2010)
Avec le système d’exploitation Tails, bienvenue dans le futur. Les mots de Jean-Marc Manach datent de 2010 et semblent quasi prophétiques 5 ans plus tard, alors que le Sénat a voté ce 9 juin les derniers articles sur la loi renseignement, tandis que de l’autre côté de l’Atlantique, nos voisins américains somment la NSA de cesser sa surveillance de masse… Alors que Pas Sage en Seine, l’événement hacker de Futur en Seine, appelle cette semaine à débattre de nos libertés publiques à l’ère Snowden, Makery apporte sa pierre à l’édifice, avec un tuto à suivre pas à pas pour installer TailsOS sur son PC (enfin, plus précisément sur une clé USB, on y vient…).
Tails est en effet un système d’exploitation anonymisant et amnésique qui tient sur une clé USB de 4 Go sous Linux (ou un CD, une carte SD) et fonctionne sur PC, Mac et Linux. Le tuto qui suit est réservé aux détenteurs de PC sous Windows, mais il en existe également pour Mac et Linux.
Prologue : sécuriser l’installation
Pour éviter l’attaque Man-in-the-Middle, un scénario où des pirates (ou la NSA) s’interposent entre l’ordinateur qui télécharge Tails et le serveur qui le distribue, on recommandera de recourir à PGP (Pretty Good Privacy), un protocole qui permet (pour faire simple) de comparer le fichier que l’on a téléchargé avec celui que le site a souhaité nous envoyer.
L’étape 1 s’adresse à un public averti et méticuleux. Pour aller à l’essentiel, passez directement à l’étape 2.
Étape 1 : installer et vérifier GPG4win
On télécharge GPG4win 2.2.4, un logiciel Windows qui vérifie l’authenticité d’une installation, ainsi que l’OpenPGP signature (juste en dessous du bouton vert de téléchargement). Et on l’installe en prenant bien garde à ce que la case Kleopatra soit cochée (comme sur la capture d’écran ci-dessous).
Avant d’aller plus loin, il faut vérifier GPG4win (si le logiciel de vérification n’est pas vérifié, ça pose problème…).
Si vous n’en avez pas encore, il est indispensable de créer sa clé PGP. Pour ce faire, ouvrir GPA (GNU Privacy Assistant), puis, dans l’onglet Clefs, sélectionner Nouvelle Clé… Entrer ensuite le nom de la clé dans la fenêtre qui vient de s’ouvrir, puis cliquer sur Suivant. Entrer ensuite une adresse e-mail et cliquer sur Suivant. Sélectionner Le faire plus tard à l’étape suivante et continuer pour arriver à la dernière étape. Il vous suffit d’entrer la phrase de passe (on espère que personne n’utilise plus de mot de passe), si possible avec des chiffres et des caractères spéciaux. Vous voilà en possession de votre clé PGP, qui apparaît dans la liste de GPA. Cool non ?
Reste une petite manip qui consiste à ajouter la clé publique de GPG4win, Intevation. Après avoir enregistré le fichier (enregistrer la cible du lien sous…), on retourne sur GPA, onglet Clefs, puis Importer des clefs, on retrouve le fichier tout juste téléchargé pour le faire apparaître dans la liste. Et on vérifie l’empreinte de la clé Intevation avant de la signer avec sa propre clé.
Et oui, car il faut aussi vérifier la clé qui nous servira à vérifier l’installation du programme qui nous servira à vérifier Tails. Accrochez-vous, on y est presque !
On sélectionne la clé que l’on vient d’ajouter, puis on clique sur le bouton Signer dans la barre d’outils en haut de GPA. Une fenêtre de confirmation de l’empreinte de la clé apparaît qui doit être :
61AC 3F5E E4BE 593C 13D6 8B1E 7CBD 620B EC70 B1B8
On clique sur Oui et on entre sa phrase de passe utilisée lors de la création de votre clé : la clé est vérifiée.
Et du coup, on peut maintenant vérifier l’installation de GPG4win. Il faut quitter GPA et ouvrir Kleopatra, aller dans File>Decrypt/Verify Files… Puis retrouver le fichier d’installation de GPG4win (qui doit également contenir le fichier de signature en .sig). Cliquer ensuite sur Decrypt/Vérify. Après un temps de chargement, un message en vert devrait s’afficher : l’installation est vérifiée ! (Si ce n’est pas le cas, le problème vient probablement de la signature de clé).
Étape 2 : télécharger et vérifier Tails
Cette étape devrait être un jeu d’enfant maintenant que vous voilà rôdés à la vérification…
1. Télécharger Tails et son fichier de signature
2. Vérifier le fichier Tails
Ajouter la clé avec GPA, la signer en vérifiant l’empreinte qui doit être :
A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Fermer GPA, et, si vous avez suivi l’étape 1, ouvrir Kleopatra et vérifier le fichier d’installation de Tails.
Étape 3 : installer Tails sur une clé USB
1. Télécharger et installer Universal USB Installer, un petit logiciel qui permet d’installer une image (le .iso de Tails) sur une clé. Insérez la vôtre dans l’ordinateur. Attention à ne pas brancher la clé en USB 3.0 ! L’installation de Tails formatera la clef USB.
2. Démarrer Universal USB Installer : cliquer sur Next, sélectionner Tails dans le menu déroulant Step 1, sélectionner le fichier image (tails-i386-1.4.iso) pour Step 2, sélectionner la clé USB sur laquelle vous souhaitez installer Tails. Cocher la case Format Drive, cliquer sur Yes. Félicitations, Tails est désormais installé !
Il ne reste plus qu’à dire à l’ordinateur de redémarrer à partir de la clé USB (et non pas votre disque dur). C’est l’étape 4.
Étape 4 : Démarrer sous Tails
1. Allumer l’ordinateur en étant prêt à accéder au BIOS
Au début de la séquence de démarrage de la machine, un message s’affiche du type Press F2 to enter BIOS. La touche à appuyer peut varier entre F2, F12, Esc, Del/Suppr… Enfoncer cette touche au démarrage.
2. Dans le BIOS (le cerveau de l’ordi sans sa base WIndows ou Linux), à l’onglet Boot :
– Vérifier que le mode UEFI n’est pas activé, et que tout est bien en Legacy First
– Dans Boot Device Priority, placer USB HDD en tête de liste, de sorte que l’ordinateur cherche un système d’exploitation sur lequel démarrer sur la clé USB, avant de passer au disque dur. Ce qui permet aussi de n’avoir qu’à démarrer son ordinateur sans la clé USB pour lancer Windows normalement.
– Enregistrer et redémarrer toujours avec la clef USB (la touche est indiquée en bas, généralement F10) : l’ordinateur démarre alors sous Tails, qui demande de configurer quelques options, comme le camouflage en Windows.
Et voilà, avec Tails, on peut naviguer sur les réseaux en tout anonymat, sans laisser de traces ni localement ni sur les serveurs distants.
Les plus téméraires et curieux qui voudraient en savoir plus sur les avantages et les limites de TOR (The Onion Router) et HTTPS, deux technologies pré-installées sur Tails, on recommandera l’infographie de l’Electronic Frontier Fondation, association américaine de défense des libertés sur Internet.
Et pour aller plus loin et apprendre à vous servir de votre nouveau système : la documentation Tails
En savoir plus sur la cryptographie asymétrique, la technologie derrière le PGP