Une enquête réalisée par le média allemand Panorama lève le voile sur la façon dont les autorités ont réussi, entre 2019 et 2021 et au prix d’efforts inédits, à identifier les administrateurs et certains membres d’un site Web pédopornographique dont les accès transitaient pourtant par Tor. S’ils admettent que certaines questions restent en suspens, les responsables du projet assurent que l’anonymat est toujours garanti sur le réseau décentralisé.

« Enquêtes sur le darknet : les forces de l'ordre sapent l'anonymat de Tor », a titré mercredi le média allemand Panorama, cellule d’investigation politique du géant audiovisuel NDR. L’article, doublé de formats TV et largement relayé outre-Rhin, lève une partie du voile sur la façon dont les autorités allemandes ont réussi à identifier, puis arrêter, en décembre 2022, un certain Andreas G., accusé d’avoir administré le forum de contenus pédopornographiques Boystown. Ce dernier n’était pourtant accessible qu’au travers du réseau décentralisé Tor, conçu pour garantir l’anonymat de ses utilisateurs. Cette promesse de confidentialité a-t-elle vraiment été rompue et, si oui, comment ?

Une identification basée sur des méthodes statistiques

Daniel Moßbrucker et Robert Bongen, les auteurs de cette enquête, indiquent avoir eu accès à une partie des documents confidentiels liés à ce dossier. Ils n’en révèlent pas la teneur technique exacte, mais expliquent que les autorités se sont appuyés sur une méthode statistique d’analyses temporelles (« timing analyses ») pour parvenir à leurs fins.

Rappelons qu’en simplifiant, le fonctionnement de Tor repose sur des serveurs intermédiaires, baptisés nœuds (nodes) ou relais, par lesquels transitent, de façon dynamique et chiffrée, les échanges entre un internaute et un serveur distant. Ce sont ces rebonds, de serveur en serveur, qui garantissent l’anonymat de l’utilisateur, puisque son adresse IP n’est connue que du premier relais auquel il se connecte, en sachant que le réseau Tor se compose aujourd’hui d’environ 8 000 relais opérés par la communauté. Les différentes couches de chiffrement garantissent quant à elles la confidentialité des échanges.

D’après Panorama, les autorités allemandes auraient réussi à « surveiller », parfois « pendant des années », certains de ces relais. Les ont-elles infiltrés, ou opérés directement ? L’enquête ne le dit pas. Cet accès a cependant ouvert une voie nouvelle : la possibilité de suivre certains échanges au travers des relais surveillés, en corrélant la taille des paquets échangés sur le réseau à leur heure de transmission. C’est cette technique, dont les détails précis n’ont pas été rendus publics, qui aurait permis aux forces de police de déterminer le point d’entrée d’Andreas G. sur le réseau, en suivant certains des messages échangés par ce dernier sur le client P2P Ricochet.

Des liens avec Liberty Lane ou KAX17 ?

Contactée par les auteurs de l’enquête avant publication, l’équipe du projet Tor affirme ne pas avoir eu accès aux éventuels détails techniques obtenus par ces derniers dans le cadre de leurs investigations. Ses discussions internes montrent néanmoins que les allégations sont prises très au sérieux, en partie parce qu’elles font resurgir des soupçons, formulés en début d’année suite à la publication d’un document classé confidentiel sur Reddit.

Issu du bureau d’enquêtes du Département de la sécurité intérieure américain, il évoque une opération conjointe du FBI et de son homologue britannique, la NCA, avec le concours de forces allemandes et brésiliennes, visant à « désanonymiser » les utilisateurs de certains réseaux de pédocriminalité opérant par l’intermédiaire de Tor. Nom de code ? Liberty Lane.

Les éventuels résultats de l’opération n’ont pas été rendus publics, mais des internautes ont réussi à mettre en lumière des recoupements entre plusieurs procédures judiciaires liées à des accusations de pédocriminalité. Les documents associés révèlent que dans la plupart de ces affaires, le FBI a réussi à obtenir l’adresse IP de l’accusé grâce au concours d’une « autorité étrangère », dont l’identité et les méthodes ne sont pas précisées.

Pour Boystown comme pour Liberty Lane, les identifications supposément réalisées via Tor seraient intervenues entre 2019 et 2021. Une période qui rappellera peut-être un autre incident aux spécialistes du réseau décentralisé : la mise en lumière, fin 2021, d’une vaste tentative de corruption du réseau Tor à l’aide de relais.

Les signes avant-coureurs en avaient été découverts par Nusenu, un participant au projet Tor, qui a d’ailleurs largement documenté le phénomène, surnommé KAX17, pendant deux ans sur son blog. À l’époque, la rumeur évoquait une initiative lancée par le gouvernement allemand, sans que l’hypothèse ait jamais été publiquement confirmée. Les journalistes de Panorama ne font pas ce lien dans leur article.

Une surveillance exceptionnelle

La presse allemande illustre un autre aspect exceptionnel de l’enquête liée à Boystown, via Tor. tagesschau.de, le portail central d'informations d'ARD, révèle ainsi que fin 2020, le tribunal de Francfort a prononcé une mesure de surveillance inédite, à la demande de la police criminelle fédérale. L’opérateur Telefónica a ainsi été enjoint de surveiller, pendant trois mois, les connexions à l’échelle de ses 43 millions de clients allemands (sous la marque O2), afin de signaler aux autorités toute connexion en direction d’un serveur précis : le point d’entrée supposément utilisé par Andreas G. pour se connecter au réseau Tor. Tagesschau souligne au passage que cette technique, dite IP Catching, a été mise en œuvre sans aucune « base légale explicite ».

« Il s’agit d’une démarche bien intentionnée, mais très créative, des autorités chargées de l’enquête, dans laquelle différents motifs d’intervention du Code de procédure pénale ont été joyeusement rassemblées, ce qui, dans sa forme concrète, a au moins épuisé les limites de ce qui était légalement autorisé », commente pour Tagesschau Dominik Brodowski, un professeur en criminologie de l’université de la Sarre.

Le volet technique lié à Tor a-t-il lui aussi dépassé ces limites ? Pour être efficace dans un laps de temps raisonnable, la technique d’analyse de la taille des paquets suppose en effet que les autorités allemandes aient réussi à infiltrer un volume significatif de serveurs. À défaut, les probabilités qu’un message du suspect passe par l’un des relais surveillés s’effondrent.

De la santé du réseau Tor

L’équipe du projet a choisi de répondre publiquement à la question que pose cette enquête : l’anonymat est-il toujours garanti sur Tor ? Elle rappelle l’introduction, dès 2018, du composant Vanguards, qui vise à limiter les possibilités en matière d’analyse de trafic, et souligne que l’application de messagerie instantanée décentralisée Ricochet, une alternative moderne à TorChat et Tor Messenger, qui aurait été utilisée pour désanonymiser Andreas G., a depuis été mise à jour et intègre justement ce composant, dans sa version actuelle (Ricochet-refresh, fork du client historique).

Reste une question structurelle : le réseau est-il assez vaste, et assez distribué, pour limiter tout risque de surveillance ? Fin 2023, le projet Tor avait révélé avoir procédé à un grand ménage au sein de son architecture distribuée, ayant conduit à la suppression de milliers de relais qualifiés de suspects.

« L’équipe en charge de la santé du réseau a implémenté des processus visant à identifier les grands ensembles de relais susceptibles d’être gérés par des opérateurs uniques ou mal intentionnés », rappelle aujourd’hui le projet Tor. Qui réaffirme sa conviction selon laquelle Tor est aussi anonyme et performant qu’il ne l’a jamais été. Et en appelle pour finir à sa communauté : « Nous encourageons ceux qui le peuvent à se porter volontaires et à contribuer, en bande passante et en relais, pour développer et diversifier le réseau Tor ».