Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Tor : un juge refuse à Mozilla les détails d’une éventuelle faille de Firefox

Un air de déjà-vu

Tor : un juge refuse à Mozilla les détails d'une éventuelle faille de Firefox

Le 20 mai 2016 à 06h30

Un juge américain vient de débouter Mozilla dans sa demande d’intervention dans un procès pour pédopornographie. L’éditeur aimerait connaître les détails d’une possible faille de sécurité utilisée pour traquer des utilisateurs du réseau Tor. Il ne désarme pas, mais a désormais peu de chances d’avoir ces informations dans l’immédiat.

Jay Michaud, directeur d’école, est accusé de pédopornographie. Il lui est notamment reproché d’avoir consulté à de multiples reprises Playpen, un service de partage de contenus pédopornographiques sur le réseau Tor. L’enquête menée par le FBI a pu mettre en évidence tout un réseau d’utilisateurs, débusqué grâce à une méthode non décrite, reposant sur une faille potentielle.

Cette méthode a permis un coup de filet conséquent. Dans un premier temps, un mandat délivré par un juge de Virginie a provoqué la saisie du nom de domaine, en février 2015. Une équipe spécifique du FBI a alors relancé le service depuis une infrastructure autorisant le traçage de tous ceux qui s’y connecteraient. Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.

Mozilla veut les détails

Or, culpabilité de Jay Michaud mise à part, c’est bien cette possible faille qui intéresse Mozilla. Les accès au réseau se faisaient par Tor Browser, qui repose sur Firefox. Le raisonnement de l’éditeur est donc très simple : la faille qui a permis au FBI de pirater les utilisateurs résidait peut-être dans le code de Firefox, laissant planer un danger pour tous les autres. D’autant que la brèche suspectée est présente depuis au moins un an et demi maintenant.

Dans un billet daté du 11 mai, la responsable juridique de l’entreprise, Denelle Dixon-Thayer, expliquait qu’une demande avait été déposée au tribunal de Tacoma, Washington, pour réclamer que soit révélés les détails. Jusqu’à présent, ces derniers n’ont été communiqués qu’à la défense de Jay Michaud, ce que l’éditeur trouve illogique : « Nous ne pensons pas que cela ait beaucoup de sens, puisque la faille ne peut de fait pas être corrigée avant d’être plus largement révélée ».

Le juge renvoie vers le département de la Justice

Le juge Robert Bryan vient de décliner cette demande. Pas question pour Mozilla d’intervenir dans le procès. Selon lui, la requête de l’éditeur ne concerne pas ce tribunal, mais bien le gouvernement américain lui-même, plus précisément le département de la Justice. Lui seul est habilité à dévoiler des informations sur des failles de sécurité, aucun tribunal ne pouvant l’y contraindre.

Dans une réponse donnée à Newsweek, Mozilla indiqué qu’elle continuera à « faire pression sur le gouvernement » pour lui « faire comprendre que la meilleure chose à faire pour la sécurité de nos utilisateurs est de révéler s’il y a ou non une vulnérabilité, et dans ce cas de nous permettre de la corriger ». L’entreprise estime que toute personne découvrant une faille dans son navigateur devrait avoir la liberté de lui en communiquer les détails. Mais elle sait que la partie est perdue pour le moment.

Mozilla, Apple, même combat

Le cas est en effet très similaire à celui qui a opposé Apple au FBI. Ce dernier cherchait à obtenir les informations chiffrées stockées dans un iPhone 5c sous iOS 9. Apple ne possédant par le code de verrouillage (qui participe à la création de la clé de chiffrement), le FBI avait fait pression via une procédure juridique pour forcer l’entreprise à coopérer. Finalement, le Bureau avait fait savoir que l’aide d’Apple n’était plus requise et qu’une autre méthode, fonctionnelle, avait été trouvée.

Apple était montée au créneau : pas question de laisser se balader dans la nature une faille qu’elle ne connaissait pas. Dans un retournement de situation, la firme avait couru après le FBI pour demander de plus amples informations. Peine perdue, puisque seul le département de la Justice pouvait acquiescer à une telle demande, dont on connaît depuis la réponse.

Aux États-Unis, il faut rappeler que chaque faille transitant entre les mains d’une émanation du gouvernement passe au travers d’un processus nommé VEP, pour Vulnerabilities Equities Process. Au terme de celui-ci, il est déterminé si une brèche doit être révélée immédiatement à l’éditeur concerné, ou si elle peut être exploitée dans une opération des forces de l’ordre. D’après des chiffres révélés par la NSA, 91 % des failles seulement font l’objet d’une communication aux entreprises. Pour les 9 % restants, la situation est beaucoup plus floue.

Commentaires (37)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je pense que Mozilla devrait se rapprocher de la défense si le juge accepte de leur révéler cette faille. Mozilla est un expert dans le domaine des navigateurs et possède des compétences en interne sur le réseau TOR.

Car le FBI va sûrement communiquer un truc indigeste pour les non spécialistes. Et c’est là que Mozilla a une carte à jouer.

votre avatar

Jay Michaud pourrait simplement faire suivre le contenu de la faille à la fondation Mozilla. Sauf s’il est rancunier (c’est à cause d’eux qu’ils s’est fait gauler, quand même).

 

votre avatar

Je comprends l’idée de garder des failles secrète pour l’utilisation qu’ils en font… Mais c’est complètement irresponsable d’un pure point vue de la sécurité. Une faille ouverte pour les flics c’est aussi une faille ouverte pour les black hats de tout poil…

votre avatar

Moi je ne trouve pas. Ces enfants subissent toute la violence, la haine et la misère du monde alors qu’ils n’ont rien demandé à personne. Je trouve ça tout autant justifié que s’il s’agissait de mafia, de trafic d’arme ou de terrorisme. Plus même, que le terrorisme “occidental”. Le nombre annuel de vies détruites par le terrorisme est AMHA très largement inférieur au nombre de vies d’enfants détruites par la pédophilie. Et pas de pédopornographie sans pédophilie…. Et vice versa (ou presque).


votre avatar

Seuls les organismes gouvernementaux ont les moyens et compétences pour infiltrer Tor,  ça veut dire la NSA. Et eux je ne pense pas qu’ils s’occupent de ce genre d’affaires.

votre avatar







Obidoub a écrit :



Seuls les organismes gouvernementaux ont les moyens et compétences pour infiltrer Tor.





Je ris.



Non, je n’y crois absolument pas. Certes les agences gouvernementales ont des moyens techniques et financiers délirants. Mais je ne sous-estimerais pas la capacité des “communautés” pour réfléchir ensemble et trouver les même failles avec moins de moyens, et tout aussi vite. Le passé nous l’a toujours prouvé au final.


votre avatar

Moi ça ne fait pas rire.

On se doutait que la NSA avait des nœuds Tor compromis et pouvait récupérer des bouts d’information.

Mais là cette affaire montre que Tor est trouvé puisque même la justice arrive à en tirer des choses.

A moins que la faille vienne d’ailleurs (un plugin ? une extension ? social engineering?).

votre avatar

De mon côté je n’ai jamais vraiment fait confiance à Tor. De mon point de vue la sécurité est illusoire sur Internet, Tor a certainement été bon au début, grâce à l’effet nouveauté. Le temps que les diverses parties prenant es s’y adaptent et comprennent le mécanisme.



A partir du moment où tu ne maîtrise pas la chaîne de bout en bout, la sécurité ne veut rien dire. Tor n’y changera rien à moyen terme.

votre avatar







Obidoub a écrit :



C’est quand même inquiétant si tor a été cassé et qu’on exploite une faille “juste” pour de la pédopornographie.





Les yeux dans les yeux, jamais les failles ne servent à autre chose.


votre avatar

En fait, plus que la façon dont ils ont récupérer les ip des pedophiles, c’est la façon dont ils ont pris la main sur le site en question qui serait intéressant. 

Pour les IP, la première news expliquait qu’en fait, moins d’1% des “utilisateurs” du site se sont fait pécho, donc la théorie du JS laissé activé par défaut me parait la plus probable (pas une faille donc). 

votre avatar







Nozalys a écrit :



De mon côté je n’ai jamais vraiment fait confiance à Tor. De mon point de vue la sécurité est illusoire sur Internet, Tor a certainement été bon au début, grâce à l’effet nouveauté. Le temps que les diverses parties prenant es s’y adaptent et comprennent le mécanisme.



A partir du moment où tu ne maîtrise pas la chaîne de bout en bout, la sécurité ne veut rien dire. Tor n’y changera rien à moyen terme.





J’aurais tendance à penser la même chose.



Plus un outil est utilisé, plus il sera attaqué. Tor n’y fait pas exception.


votre avatar

Mozilla aurait plus de chance d’avoir une réponse positive en demandant les détails à l’avocat du pédopornophile !

votre avatar
votre avatar

”… Matthew J. Edman, un ancien employé à temps partiel du projet Tor, a aidé à la création d’un logiciel malveillant « anti-Tor » baptisé Torsploit (ou encore Cornhusker) pour le Federal Bureau of Investigation (FBI), malware qui a ensuite été utilisé avec succès dans plusieurs enquêtes, y compris l’opération Torpedo.”

Ce nom d’opération de ouf <img data-src=" />

votre avatar

Les gars de Mozilla viennent faire les caliméro. Il faudrait que le FBI s’occupe de la sécurité des utilisateurs de Firefox ? Et pourquoi pas en plus leur payer les campagnes publicitaires, payer les employés, etc… ?

Et si le FBI leur demanderait quelque chose, ils refuseraient comme l’a fait Apple !



Ils veulent le beurre, l’argent du beurre et le cul de la crémière ! Faut pas pousser mémé dans les orties. Et si leur produit n’est pas sûr, rien n’empêche les utilisateurs d’en changer.



Et la sécurité des gamins qui ont subi ces actes pédophiles, ils en font quoi chez Mozilla ?

votre avatar

Si le FBI/NSA l’ont trouvée, aucun doute qu’ils ne soient pas les seuls à la connaître et/ou à l’exploiter ! C’est tellement irresponsable ce jeu de c*n…

votre avatar

Pour le coup, la réponse du juge est justifiée.

votre avatar

C’est quand même inquiétant si tor a été cassé et qu’on exploite une faille “juste” pour de la pédopornographie.

votre avatar

Mozilla n’aura jamais la réponse à sa question. Un jour ils boucheront cette faille sans même savoir qu’elle a pu servir.

&nbsp;

91 % des failles seulement&nbsp;font l’objet d’une communication aux entreprises. Pour les 9 % restants, la situation est beaucoup plus floue.”&nbsp;Toutes les failles transitent par ce processus ou uniquement celles découvertes par l’état? Qui déniche le plus de problème de sécurité entre l’état et la communauté?

votre avatar

Il s’est fait donner par Tor et la justice lui a donné tort. C’est retors.

Sinon s’agissant de Jay Michu, je pense que la faille doit être qu’il n’avait pas sécurisé son accès avec OpenOffice.

votre avatar

Un groupe qui trouve une faille de sécurité, l’exploite sur plus d’un millier de personnes, et refuse d’informer l’éditeur pour un correctif, on appelle ça des blackhats l’Etat.

votre avatar







Boaki a écrit :



Le FBI/NSA/MOSSAD etc… = Satan.





N’importe quoi.



M’étonnerai qu’ils supportent aussi bien le feu et l’isolement sous terre <img data-src=" />


votre avatar







moi1000 a écrit :



Les gars de Mozilla viennent faire les caliméro. Il faudrait que le FBI s’occupe de la sécurité des utilisateurs de Firefox ? Et pourquoi pas en plus leur payer les campagnes publicitaires, payer les employés, etc… ?









  • Bonjour, nous sommes la NSA. Nous avons trouvé un moyen ingénieux de tuer instantanément n’importe quel individu où qu’il soit sur Terre. Bien sur, nous n’utilisons ce moyen que pour les dangereux terroristes / pédophiles.

  • Heu… Faudrait peut-être protéger l’humanité si jamais des terroristes découvrent eux aussi ce moyen. On peut avoir des détails sur ce moyen ?

  • Non.

  • Ok.


votre avatar



Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.





Donc, a priori, Firefox n’y est pour rien dans la divulgation des IP. Par contre la faille qu’il contiendrait permet de s’introduire dans un ordinateur ?? Donc potentiellement hors TOR aussi.



Diantre… je me demande si ca touche tous les systèmes.

votre avatar

Je ne pense pas qu’il y a de lien entre firefox et le piratage des ordinateurs.&nbsp;

Pourquoi tu dis que Firefox n’y est pour rien dans la divulgation des IP ?&nbsp;



On n’a aucune info sur la façon dont ils ont eu accès au site, par contre à priori les IP des visiteurs ont été récupéré par une “faille” de firefox. Je met entre guillemets, car la dernière “faille” de tor browser utilisait Adobe Player, et il y a des chances pour que cette faille soit du même niveau (au hasard, un exploit JS pour choper l’IP de ceux qui l’on laissé activé).&nbsp;



La dernière news parlait de 200 000 inscrits sur ce site (ça fait peur&nbsp;<img data-src=" />), le FBI a réussi à en choper à peine plus d’un millier. &nbsp;Ca montre que la faille est assez spécifique.&nbsp;

votre avatar







WereWindle a écrit :



&nbsp;l’opération Torpedo.”

Ce nom d’opération de ouf <img data-src=" />



Torpedo? Ben, en fait, c’est le nom d’un site en onion. Et d’après ce que j’ai lu dans des news, le contenu convient bien au titre <img data-src=" />


votre avatar







Nozalys a écrit :



De mon côté je n’ai jamais vraiment fait confiance à Tor. De mon point de vue la sécurité est illusoire sur Internet, Tor a certainement été bon au début, grâce à l’effet nouveauté. Le temps que les diverses parties prenant es s’y adaptent et comprennent le mécanisme.



A partir du moment où tu ne maîtrise pas la chaîne de bout en bout, la sécurité ne veut rien dire. Tor n’y changera rien à moyen terme.





Vous êtes la preuve que le FUD des US fonctionne.

Personne à part eux ne savent ce qui a été troué et vous jetez déjà le bébé avec l’eau du bain.

Tremblez, tremblez.


votre avatar







moi1000 a écrit :



Les gars de Mozilla viennent faire les caliméro. Il faudrait que le FBI s’occupe de la sécurité des utilisateurs de Firefox ? Et pourquoi pas en plus leur payer les campagnes publicitaires, payer les employés, etc… ?

Et si le FBI leur demanderait quelque chose, ils refuseraient comme l’a fait Apple !



Ils veulent le beurre, l’argent du beurre et le cul de la crémière ! Faut pas pousser mémé dans les orties. Et si leur produit n’est pas sûr, rien n’empêche les utilisateurs d’en changer.



Et la sécurité des gamins qui ont subi ces actes pédophiles, ils en font quoi chez Mozilla ?

&nbsp;





Mais oui, c’est firefox qui viole des gosse maintenant <img data-src=" />.


votre avatar







zitrams a écrit :



Il s’est fait donner par Tor et la justice lui a donné tort. C’est retors.







<img data-src=" />


votre avatar







blackdream a écrit :



Je ne pense pas qu’il y a de lien entre firefox et le piratage des ordinateurs. 

Pourquoi tu dis que Firefox n’y est pour rien dans la divulgation des IP ? 



On n’a aucune info sur la façon dont ils ont eu accès au site, par contre à priori les IP des visiteurs ont été récupéré par une “faille” de firefox. Je met entre guillemets, car la dernière “faille” de tor browser utilisait Adobe Player, et il y a des chances pour que cette faille soit du même niveau (au hasard, un exploit JS pour choper l’IP de ceux qui l’on laissé activé). 



La dernière news parlait de 200 000 inscrits sur ce site (ça fait peur <img data-src=" />), le FBI a réussi à en choper à peine plus d’un millier.  Ca montre que la faille est assez spécifique.







Si je dis çà c’est par rapport à la tournure de la phrase : “Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.”



Bon peut-être que Firefox a aussi permis la divulgation de l’ip mais apparemment c’est plus avec des noeuds Tor compromis/modifiés que celà a été réalisé.


votre avatar

En aucun cas le “FUD” des US ne m’atteint puisque je ne m’intéresse absolument pas à ce qui se passe dans ce pays. Je regarde chez moi, au pas de ma porte, et je trouve qu’il y a déjà bien à faire, à dire, à commenter, à critiquer, et donc à améliorer.



Le raisonnement que je tiens n’est pas nouveau et ne date pas de Tor.



Je ne prône pas l’absence de sécurité au prétexte qu’elle serait toujours compromise. Seulement je ne me voile pas la face. Ce n’est pas parce que je met tout en place pour sécuriser mes échanges que je sais de manière omnisciente que cette sécurité est absolue.

votre avatar







CryoGen a écrit :



Donc, a priori, Firefox n’y est pour rien dans la divulgation des IP. Par contre la faille qu’il contiendrait permet de s’introduire dans un ordinateur ?? Donc potentiellement hors TOR aussi.



Diantre… je me demande si ca touche tous les systèmes.





En fait la faille , tu l’exploites avec un code malveillant, le plus court/simple possible . Et tu te sert de la faille pour faire télécharger silencieusement un malware. Etant donné que naturellement, tu autorises Firefox dans ton parefeu, ben le téléchargement passe crème ! C’est le malware qui fera le taf après.



Malware qui est concu pour l’OS de la cible, en général. Et qui lui peut être sans problèmes sophistiqué.

&nbsp;

Ensuite, je suppose que le malware fait de l’injection de processus, afin de passer les parefeu (ce bon vieux RunPE des familles, on se demande ce que les mecs qui on prévu CreateProcess en mode SUSPENDED avait dans la tête <img data-src=" />)


votre avatar

Opération Espadon était déjà pris.

votre avatar

Si la NSA te donne se moyen, qu’est ce qui dit que tu ne vas pas t’en servir pour tuer des innocents ? Tu es peut-être toi-même un terroriste qui va vouloir utiliser ce tout nouveau système.

Ensuite, quand bien même tu n’es pas un terroriste, si tu annonces à tout le monde comment fonctionne ton système, les terroristes vont pouvoir trouver une solution pour contrer le système de la NSA.



&nbsp;

votre avatar

Non, c’est un gars, nommé Jay Michaud, qui utilisait Firefox…



Et il n’est probablement pas le seul pédophile à faire ça…



Mais à ce que je vois, tu veux jouer au plus con en faisant semblant de ne pas comprendre ce que j’ai écrit.

votre avatar

Il n’est pas question de dévoiler la faille au public… mais seulement à la société qui fabrique le produit qui est défaillant.

votre avatar







moi1000 a écrit :



Non, c’est un gars, nommé Jay Michaud, qui utilisait Firefox…



Et il n’est probablement pas le seul pédophile à faire ça…



Mais à ce que je vois, tu veux jouer au plus con en faisant semblant de ne pas comprendre ce que j’ai écrit.





Il est accusé de pédopornographie, pas d’avoir violé qui que ce soit.


Tor : un juge refuse à Mozilla les détails d’une éventuelle faille de Firefox

  • Mozilla veut les détails

  • Le juge renvoie vers le département de la Justice

  • Mozilla, Apple, même combat

Fermer