Pour démanteler le réseau d’échanges de contenus pédopornographiques Playpen, le FBI a recouru à un logiciel exploitant des faiblesses dans Tor Browser pour pirater des machines. L’opération a permis l’arrestation de 1 500 personnes, mais la méthode laisse des questions en suspens. Le FBI cherche donc à faire classifier son outil.
L’affaire fait du bruit depuis plusieurs mois. Le démantèlement du réseau Playpen, qui opérait sur Tor, a pu se faire initialement en débusquant l’un des participants. Sa machine a été récupérée et reconvertie en « pot de miel », simulant ainsi une activité classique d’échanges de contenus, tout en récupérant des informations sur les connexions. 1 500 personnes ont été mises en examen, l’opération étant un succès.
Mais le FBI s’est servi d’un « malware » exploitant des faiblesses dans Tor Browser. Depuis, il existe une forte suspicion autour de la présence d’une faille de sécurité. Mozilla, estimant que la brèche supposée pouvait être dans Firefox – qui sert de fondation à Tor Browser – a ainsi demandé au FBI de bien vouloir révéler les détails de la vulnérabilité. Peine perdue : si la requête a été accordée dans un premier temps, elle a vite été rejetée par un deuxième juge, que le département américain de la Justice avait convaincu de l’importance cruciale du logiciel.
Tout est donc devenu une question de sécurité nationale. Ce qui pose désormais un problème pour la défense, le même en fait que dans l’affaire qui avait révélé la coopération profonde de BlackBerry avec la gendarmerie canadienne : comment prouver que les informations récupérées sont authentiques si l’outil ne peut pas être examiné ?
Classifier pour éloigner
La question se pose d’autant plus que dans une réponse remise au tribunal par les avocats du gouvernement dans l’un des procès (Gerald Andrew Darby), on peut lire : « De manière dérivée, le FBI a classifié des portions de l’outil, les exploits utilisés en relation avec l’outil, et certains des aspects opérationnels de l’outil en accord avec le Security Information Classification Guide du FBI ». En d’autres termes, une grande majorité de ce qui a été utilisé est désormais hors d’atteinte car pouvant porter atteinte à la sécurité de l’État s’il venait à être révélé.
D’après Motherboard, qui a interrogé plusieurs experts sur la question, les raisons qui poussent le gouvernement à classifier l’outil ne tiennent que peu la route. Ce type de demande doit être approuvé d’une part, mais elle doit être également motivée, en étant notamment rangée dans une classification précise de raisons. Steven Aftergood, de la Federation of American Scientists, remarque ainsi : « Laquelle de ces catégories devrait s’appliquer ? Sources de renseignement et méthodes ? Activités technologies liées à la sécurité nationale ? Vu d’ici, toutes semblent tirées par les cheveux. Il sera intéressant de voir comment le FBI défend son geste, et si le tribunal sera convaincu ».
Un besoin de protéger un investissement ?
La raison du retard, par contre, échappe aux observateurs. Mauvaise organisation, défauts techniques, les explications sont multiples. Il semble dans tous les cas que la finalité soit simplement de mettre à l’abri un outil qui pourrait être utilisé plus tard. S’il exploite une ou plusieurs failles dans Tor Browser et que ces vulnérabilités n’ont toujours pas été trouvées (ou même corrigées sans le savoir), l’outil garde donc tout son potentiel pour d’autres opérations. Sachant que le FBI a eu besoin de presque 18 mois pour réussir le coup de filet de Playpen, on comprend qu’il cherche à protéger son arme.
Cette bataille juridique montre encore une fois la valeur des vulnérabilités entre les mains des forces de l’ordre. La moindre brèche récupérée aux États-Unis passe pour rappel par un processus d’évaluation au terme duquel le département de la Défense la signale à son éditeur ou la met de côté « pour plus tard ». Il existe un marché de l’ombre pour ces failles, le FBI devenant presque un client comme les autres. Il a par exemple acheté la brèche qui lui a permis de percer les défenses d’un iPhone 5c dans l’affaire San Bernardino, au grand dam d’Apple qui n’a jamais pu en récupérer les détails.
Commentaires (66)
#1
Il va re-falloir un gros jambonnage en règle pour que les US commencent a privilégier le défensif sur l’offensif …
#2
Cameron pourrait se reconvertir à la recherche de gros cochon sur internet lol.
#3
Perso cela ne plait pas, mais vu les cibles arrêter cette fois-ci, suit partager, arrive pas à faire pencher la balance entre le oui et le non de la justification." />
#4
Du coup, si quelqu’un comble la faille, le FBI peut lui demandé de la remettre en état sous peine d’atteinte à la sécurité de l’État ? " />
#5
« Laquelle de ces catégories devrait s’appliquer ? Sources de
renseignement et méthodes ? Activités technologies liées à la sécurité
nationale ? Vu d’ici, toutes semblent tirées par les cheveux. Il sera
intéressant de voir comment le FBI défend son geste, et si le tribunal
sera convaincu ».
Simple … il suffira au FBI de menacer le juge de dévoiler au grand jour toutes les cochonceté qu’il a faite ! " />
(un certain Bill Clinton a conservé son poste de président des US grâce à ce procédé … merci qui ? un producteur célèbre de film de TGV " /> )
#6
#7
#8
Tu prend un gros risque là.
Tu as peur de t’ennuyer aujourd’hui ?
#9
#10
Ah mais je suis d’accord avec lui.
Mais après on nous traite de méchant laxiste :)
#11
#12
#13
J’ai pas dis que j’étais d’accord, mais que j’arrive pas à me décider.
#14
A une période, quand tu cherchais “Les filles c’est comme” sur Google, la première proposition était “Les filles c’est comme les bouteilles de vin, les meilleures ont 12 ans d’âges et sont dans ma cave”.
Mais ça a été nettoyé au bout de quelques semaines ;)
#15
#16
#17
#18
#19
#20
#21
#22
A quand le retour de judge dredd ? Si tu ne sais pas pkoi il t’exécute, lui au moins il sait " />
#23
#24
#25
#26
Euh mec, on est en 2016.
Fini la confection, j’ai un call-center indien dans ma cave.
" />
#27
Ils avaient juste à dire que c’était une 0 day au niveau du cœur, impatchable et non corrigeable sans une refonte en profondeur de Firefox et qu’ils ne voulaient, de fait, pas mettre des opposants à des régimes totalitaires en danger, en publiant les failles de l’un de leurs moyens de communication privilégiés.
Je suis déçu.
#28
#29
Rappelez-moi, les USA, c’est bien une démocratie ?
Ah oui c’est vrai, excusez-moi j’avais oublié !
Plus sérieusement un jour ils vont se prendre un grand coup sur la gueule ça les calmera, le jour ou le peuple se réveillera ça va picoter..
#30
Elle se fait ?" />
#31
#32
#33
C’est peut-être parce que la faille n’est pas dans le code source de FF ni de Tor mais dans son implémentation.
Par exemple en infiltrant l’éditeur qui produit le compilateur (au hasard Microsoft pour l’implémentation windows ou Apple pour OSX) il est possible de “contaminer” des séquences de code saines, avec par exemple des génération de nombres aléatoires pas vraiment aléatoires ce qui fait que le chemin (théoriquement aléatoire entre le noeuds, c’est le principe même du mode onion) est déchiffrable par celui qui connait l’astuce et dispose d’une grosse puissance de calcul.
Du coup on comprend mieux leur réticence à avouer qu’ils ont infiltré une entreprise (ou que l’entreprise a collaboré) et que cela a des implications sur la “classification” du procédé.
Ce qui serait intéressant de savoir c’est la configuration matérielle et logicielle des inculpés.
#34
#35
#36
Ah oui chapeau.
Remarque du coup j’ai testé la même sur Google, c’est carrément plus violent.
#37
Faut dire que vous avez attaqué tellement fort, que c’est difficile de repasser derrière :)
#38
En dehors des difficultés liées à la motivation de la demande du FBI pour classifier leur outil, qui peuvent tout de même s’entendre, il est évident qu’un tel outil doit être protégé au max. Il faut, à un moment, mettre fin à ce cycle dément où un lourd investissement sécuritaire est tout simplement perdu lorsque les autorités se voient forcées de divulguer les tenants et aboutissants de leurs travaux.
Honnêtement, le second juge à très bien fait dans cette histoire.
Puis bon, j’glousse pas mal de la crainte de Firefox : “ouuuui, alors bon, vous nous cachez des failles que vous avez pu découvrir, c’pas sympa quand même….”. Biiiin j’pensais que du côté du libre, il y avait une armée de petites mains prêtes à relire du code, le tester, toussa toussa… Il est où le problème ?
#39
#40
Jolie troll, mieux que drepa ! chapeau " />
#41
#42
#43
perso cette histoire est juste hallucinante: le FBI peut donc accuser qui il vaut sans rien prouver parce que c’est secret défense.
c’est dingue non? c’est pas en F…
" /> " />
#44
Faire reposer la sécurité nationale sur une faille logicielle, et probalement faire avaler a des gens que c’est bien. On vit un époque formidable. " />
Si un jour la faille est colmatée, le dev se prend une charge de drones prédateurs ?
#45
C’est pas sur Nextinpact que certains maintenaient mordicus que Tor n’avait pas été ouvert (y’a un an déjà !!!)?
" />
#46
#47
la faille est connue : traceur type fluorescéine …
#48
C’est exactement çfa.
#49
#50
lapin? genou ?
#51
Le fameux réseau pédopornographique. " />
Ça arrange bien les affaires. " />
#52
#53
#54
Vu que c’est le deuxième message, c’est faux " /> " />
#55
#56
#57
#58
#59
#60
Autant/Au temps pour moi, je voulais dire TorBrowser, Tor en lui même n’étant pas impacté.
#61
C’est ton interprétation et celle de Mozilla.
Elles ne sont pas forcément exactes, et la faille pourrait bien être dans Tor.
#62
#63
C’est du Carlos si je ne m’abuse. Et elle n’est pas complète. Je vous laisse chercher sur google " />
#64
#65
Oui elle parle de TorBrowser (donc firefox) moi je te parle de de la techno TOr (onion router !)
#66