Connexion
Abonnez-vous

L’université Carnegie Mellon a bien aidé à attaquer le réseau Tor

Quand le Mellon s'engouffre dans l'oignon

L'université Carnegie Mellon a bien aidé à attaquer le réseau Tor

Le 25 février 2016 à 15h50

L’université américaine Carnegie Mellon a bien été impliquée dans la recherche d’adresses IP appartenant à des utilisateurs du réseau Tor. Les accusations de ce dernier n’étaient ce pendant qu’en partie vraies. Explications.

Chronologie d’une polémique

Tout commence en novembre dernier, quand le Tor publie un communiqué au ton tranché. L’équipe accuse l’université Carnegie Mellon (CMU) d’avoir été payée un million de dollars par le FBI pour percer ses défenses et dévoiler des adresses IP d’utilisateurs.

Des zones d’ombre apparaissaient clairement dans les faits relatés, mais un point semblait clair : une université américaine avait bien aidé l’agence fédérale. Le site Motherboard avait notamment publié des documents montrant comment l’enquête sur Brian Richard Farrell, alias DoctorClu du réseau Silk Road 2.0 (vente d’armes, de drogues…) avait avancé grâce au concours d’un tel établissement. La suite des évènements n’avait fait qu’augmenter les suspicions.

Toujours selon les documents obtenus par nos confrères, l’attaque contre Tor avait été menée de janvier à juillet 2014, juste après l’arrivée de Silk Road 2.0. Or, point troublant, Tor avait justement informé ses utilisateurs à l’époque que certains relais tentaient de soutirer la véritable identité de ceux qui transitaient par là.  Autre élément troublant, deux chercheurs de Carnegie Mellon annulaient une semaine plus tard une présentation qu’ils devaient faire sur Tor lors de la conférence Black Hat, sans explications.

Roger Dingledine, responsable du développement de Tor, ne doutait pas que l’université ayant aidé le FBI était bien Carnegie Mellon. D’autant que les réactions de l’établissement puis de l’agence ont été considérées comme particulièrement « molles ». Le FBI avait ainsi indiqué : « Les allégations selon lesquelles nous aurions payé la CMU un million de dollars pour pirater Tor sont incorrectes ». Mais où se situait le problème, dans la demande, la somme ou dans les deux ?

Carnegie Mellon a bien aidé le FBI

La solution de l’énigme est finalement venue du juge en charge de l’affaire Farrell, Richard Jones. Dans un document du tribunal daté de mardi : « Le rapport démontre que l’adresse IP du défendeur a été identifiée par le Software Engineering Institute (SEI) de l’université Carnegie Mellon (CPU), quand le SEI conduisait des recherches sur le réseau Tor, financées par le Département de la justice ».

Ce Software Engineering Institute est une division de l’université. Il s’agit d’un centre de recherche et de développement financé par des sources fédérales (statut FFRDC), le seul créé (selon l’établissement) pour se concentrer sur la sécurité logicielle et les problèmes d’ingénierie qui l’entoure. L’une de ses missions est effectivement de référencer les failles de sécurité découvertes. Selon la CMU, il arrive qu’un mandat issu d’un tribunal réclame des informations sur ces travaux de recherche. Le lien se situe donc ici.

Comment en est-on arrivé à une accusation du FBI et d’une somme d’un million de dollars ? En fait, l’université a annoncé l’été dernier que le SEI renouvelait son contrat avec le Département de la justice, relançant l’institut sur des travaux pour les cinq prochaines années. Valeur du marché : pas moins de 1,73 milliard de dollars. Le FBI est donc simplement passé par un tribunal pour obtenir un mandat et puis les informations qui lui ont servi à repérer Farrell.

Tor n’en démord pas : le réseau a été attaqué

Dans un communiqué publié hier, l’équipe en charge du projet Tor a réagi à ces nouvelles informations, pressée par différentes demandes de la presse. Elle prend en compte les faits dévoilés par les documents du tribunal, mais se dit « consternée » parce qu’elle a pu y lire.

Selon le billet de blog, le tribunal n’a en fait aucune idée de la manière dont le réseau fonctionne. En conséquence, il ne se rend pas compte que les informations obtenues par le SEI de Carnegie Mellon ne l’ont pas été dans le cadre d’une simple collecte : il ne suffisait pas de se baisser pour ramasser.

L’équipe précise : « La séparation entre l’identité et le routage est la clé pour expliquer pourquoi le tribunal a besoin de considérer la manière dont les attaquants ont obtenu l’adresse IP de cette personne. Le problème n’est pas simplement qu’ils ont collecté cette adresse. Le problème est qu’ils ont manifestement intercepté et faussé le trafic de l’utilisateur ailleurs dans le réseau, à un point où il n’identifie pas l’utilisateur. Ils avaient besoin d’attaquer les deux endroits afin de lier l’utilisateur à sa destination. »

De la différence entre trouver et exploiter une faille de sécurité

Et de faire le lien avec la campagne menée il y a deux ans, avec les risques de sécurité qui en ont découlé : « Le réseau Tor est sécurisé et n’a que rarement été compromis. Le SEI de l’université Carnegie Mellon a compromis le trafic au début de 2014 en exploitant des relais et en trafiquant les données ». Il ne fait aucun doute selon l’équipe de développement que le travail du SEI a également consisté à se servir d’une vulnérabilité, ce qu’elle condamne fermement.

À la lueur de ces nouveaux éléments, on comprend mieux désormais les réactions du FBI et de l’université. On ne sait pas cependant d’où Roger Dingledine tirait réellement l’information sur le million de dollars versé par l’agence à Carnegie Mellon, ce point n’étant abordé nulle part.

Dans ce contexte toutefois, le catalogage et l’utilisation des failles de sécurité sont à rapprocher de ce que l’on a appris des activités de la NSA depuis les premières publications des documents dérobés par Edward Snowden. Les développeurs de Tor espèrent en tout cas que le tribunal considèrera ce point.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

et l’université de Carnegie Mellon ne peut rien faire pour l’iphone du FBI ? <img data-src=" />

votre avatar







Vincent a écrit :



Quand le Mellon s’engouffre dans l’oignon





Un peu comme quand on est pas bien réveillé le matin ?


votre avatar







linkin623 a écrit :



Un peu comme quand on est pas bien réveillé le matin ?





<img data-src=" />


votre avatar

Je suis épaté que les membre de cette université ne se soient pas fait mousser en demandant finances pour laisser filtrer des infos. Yen a donc pas un qui ait pris le Mellon?

votre avatar

Non, il y a juste des gens qui sont embauché par l’état qui ne tienne absolument pas a se mettre à dos le FBI et l’état…



En france on peut se faire virer (voir cas récent) si on l’ouvre trop en tant que fonctionnaire

&nbsp;&nbsp;

votre avatar

ça s’appel “le devoir de réserve”™ ^_^

votre avatar

Si même Tor n’est pas sûr. Entre les serveurs pédophiles du FBI et pirater une partie du réseau grâce à une université. On sent que le FBI n’a plus de limites. En France,on est ridicule avec mes boîtes noires installés chez les hébergeurs

votre avatar







linkin623 a écrit :



Un peu comme quand on est pas bien réveillé le matin ?









Guyom_P a écrit :



<img data-src=" />







x2 <img data-src=" /> #ecoledesfans



<img data-src=" /> Put<img data-src=" /> j’en rigole encore ! <img data-src=" />


votre avatar



le SEI conduisait des recherches sur le réseau Tor, financées par le Département de la justice





Et oui, car le DoJ est tellement riche qu’il sponsorise les projets de recherche… notamment daans le but humaniste d’améliorer la sécurité informatique du réseau Tor. Et pas du tout pour contourner les protections de l’anonymat. Promis.

votre avatar

Le projet Tor est lui même financé depuis toujours par le DoD (l’armée américaine).

votre avatar

“The DoJ is responsible for the enforcement of the law and administration of justice in the United States”



Quel rapport entre la Justice (avec un grand J) et le réseau Tor ?

votre avatar

Je ne sais pas, mais ce n’est pas la première fois que les US investissent dans Tor, parfois pour le développer, parfois pour le casser.



Pour le DoJ ça semble logique qu’ils investissent pour rester pertinent et pouvoir continuer à investiguer dans les prochaines décénies.

votre avatar







Guyom_P a écrit :



<img data-src=" />









domFreedom a écrit :



x2 <img data-src=" /> #ecoledesfans



<img data-src=" /> Put<img data-src=" /> j’en rigole encore ! <img data-src=" />





Merci Merci, c’était calme au boulot, donc faut faire marcher les neurones ^^


votre avatar

&lt;i&gt;mais se dit «&nbsp;consternée&nbsp;» parce qu’elle a pu y lire&lt;/i&gt;

par ce qu’elle a pu y lire

votre avatar

Tu vois le petit icône en forme de triangle d’avertissement à droite du logo en haut de la page ? Sers-t’en la prochaine fois <img data-src=" />

votre avatar

C’est exactement dans la lignée de ce qu’ils veulent pour le chiffrement chez Apple:

une protection à toute épreuve, sauf… la porte dérobée pour eux.

votre avatar

Je dois être neuneu je trouve pas le bouton pour signaler ces coquilles. Une petite capture d’écran? SVP

votre avatar







&nbsp; Nxi a écrit :



«&nbsp;Les allégations selon lesquelles nous aurions payé la CMU un million de dollars pour pirater Tor sont incorrectes&nbsp;»





En tout cas, c’est pas notre CMU Française qui aurait pu pirater Tor, même si elle aurait pas craché sur le million <img data-src=" />


votre avatar
votre avatar

&nbsp;et personne ne se demande ce qu’est devenu Melèche?<img data-src=" />

votre avatar

YES!

&nbsp;En fait cette icone n’apparait plus quand on scrolle tout en haut de la page.



Merci.

votre avatar







hellmut a écrit :



&nbsp;et personne ne se demande ce qu’est devenu Melèche?<img data-src=" />





<img data-src=" />


votre avatar







hellmut a écrit :



et personne ne se demande ce qu’est devenu Melèche?<img data-src=" />



Mellon s’est occupé de bidouiller tor, et melèche l’ognion.


votre avatar

<img data-src=" />

votre avatar

J’espère que silk road 3.0 sera plus pérenne&nbsp;<img data-src=" />

votre avatar

Bah si c’était un citoyen lambda j’aurai trouvé ça scandaleux mais un trafiquant d’armes et de drogues… j’ai plutôt tendance à laisser couler. Néanmoins je comprends bien qu’une faille pour un cas peut très bien être utilisé pour d’autres moins… altruiste.

votre avatar







Pictou a écrit :



Bah si c’était un citoyen lambda j’aurai trouvé ça scandaleux mais un trafiquant d’armes et de drogues… j’ai plutôt tendance à laisser couler. Néanmoins je comprends bien qu’une faille pour un cas peut très bien être utilisé pour d’autres moins… altruiste.





C’est exactement du même raisonnement que du style : faut faire un état d’urgence à cause du terrorisme.

Tout le monde est d’accord et 6 mois plus tard c’est pour autre chose. Mais c’est trop tard.



Sinon pour le ‘evenir à la news je ne pige pas la réaction de tor.

Il est évident que les gens cherchent à trouver des failles pour les exploiter. Ça change quoi que ce soit une université ou Le fbi lui meme ?


votre avatar

Euh, des chercheurs en sécurité peuvent rechercher des failles, mais ils sont sensés prévenir l’éditeur de la faille, pas l’exploiter.

votre avatar







Mihashi a écrit :



Euh, des chercheurs en sécurité peuvent rechercher des failles, mais ils sont sensés prévenir l’éditeur de la faille, pas l’exploiter.







Ah ok, je comprend mieux. :)


votre avatar

Non justement, tu as lu la deuxième partie de mon message?



Et je ne raisonne pas non plus comme toi, ce problème est extrêmement complexe, on ne peut pas regarder qu’une seule facette de la médaille et s’insurger quand d’autres regardes les deux côtés.

votre avatar

Je pense avoir compris ce que j’ai dit et je ne nie pas qu’un tel reseau est utilisé à des fin mafieuses.



Ce que je dis surtout, c’est que l’excuse pour un type d’élément (la mafia) permet de donner une raison valable pour utiliser les failles d’un reseau pour les arrêter. Or on sais tres bien que ca n’en restera pas là.

Idem pour la surveillance généralisée en France et la non utilisation de la justice pour arriver à ses fins.

D’abord c’est pour les pedophile, Apres le terrorisme, ensuite l’anorexie….. Et à la fin la liberté des individus.



Mais bon avec ce raisonnement la, pourquoi on interdit pas les cartes bancaires et les virements internationaux ? Apres tout les mafias s’en servent largement. (Pas que des valises bourré de fric, ca c’est juste le film ^^ )

Apres tout c’est une mauvaise facette des transactions internationales mais ça ne gêne personne.



Idem pour Thor. :)

votre avatar

Justement on ne les interdit pas, on développe des solutions pour empêcher ce type d’activité, on ne fait pas semblant que ça n’existe pas.



J’ai bien compris ton message, mais faut arrêter de se planquer derrière les arguments du types “C’est blanc faut pas toucher, c’est noir faut enlever”, y’a du gris partout.

votre avatar







Pictou a écrit :



Justement on ne les interdit pas, on développe des solutions pour empêcher ce type d’activité, on ne fait pas semblant que ça n’existe pas.







Le problème, c’est que les solutions développés pour un problème donné dérivent très rapidement pour des problématiques moins “essentielles” et se font à chaque fois au détriment de l’être humain lambda et de sa liberté d’expression.



La on parle d’un point de vue technique, c’est surtout valable d’un point de vu légal ou l’on s’excite à développer des lois tous les 4 matins alors que la base législative répond très bien aux différentes problématiques et que c’est surtout un souci de moyen financier mal affecté (ou pas assez)



Je n’ai jamais dit que ça n’existe pas, loin de la.

[/quote]







Pictou a écrit :



J’ai bien compris ton message, mais faut arrêter de se planquer derrière les arguments du types “C’est blanc faut pas toucher, c’est noir faut enlever”, y’a du gris partout.







Tu déforme mon argument. Je dis juste qu’il y a effectivement du noir, mais aussi du blanc (et donc du gris). Mais faire croire qu’on enlève juste le noir est une douce illusion car à terme on cherche aussi à enlever le blanc qui gêne.


votre avatar

Je voulais juste insister sur une chose, voir le problème dans sa globalité, ton dernier message met bien ça en évidence, je te remercie.

L’université Carnegie Mellon a bien aidé à attaquer le réseau Tor

  • Chronologie d’une polémique

  • Carnegie Mellon a bien aidé le FBI

  • Tor n’en démord pas : le réseau a été attaqué

  • De la différence entre trouver et exploiter une faille de sécurité

Fermer