Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Facebook a aidé le FBI à identifier un homme utilisant Tails pour du cyberharcèlement

Facebook a aidé le FBI à identifier un homme utilisant Tails pour du cyberharcèlement

Le 12 juin 2020 à 09h19

L’histoire est racontée par Motherboard, mais tous les tenants et aboutissants ne sont pas connus : « Facebook a payé un montant à six chiffres à une entreprise de cybersécurité pour développer une faille 0-day dans Tails afin d'identifier un homme qui extorquait et menaçait des filles ».

Un porte-parole du réseau social s’est exprimé chez nos confrères : « Le seul résultat acceptable pour nous était que Buster Hernandez soit mis en face de ses responsabilités pour abus sur les jeunes filles […] C’était un cas unique, car il utilisait des méthodes tellement sophistiquées pour cacher son identité, que nous avons pris la mesure extraordinaire de travailler avec des experts en sécurité pour aider le FBI à le traduire en justice ».

Selon un ancien employé, « dans ce cas, il n’y avait absolument aucun risque pour les utilisateurs autres que cette seule personne[…] Nous n’aurions jamais fait une action qui aurait affecté quelqu’un d’autre, comme ajouter une porte dérobée ». Pour Motherboard, cette décision était très controversée au sein de l'entreprise.

Nul doute que cette « jurisprudence » va faire parler d’elle. 

Le 12 juin 2020 à 09h19

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pour cette action, en France, Facebook tomberait sous le coup de l’article 323-1 du code Pénal et Mark Zukerberg ferait un un an de prison.

Je ne sais pas ce qu’il en est aux US, s’il est autorisé pour une boîte privée d’introduire un virus volontairement dans le PC d’un particulier, mais ça m’étonnerait.

votre avatar







alex.d. a écrit :



Je ne sais pas ce qu’il en est aux US, s’il est autorisé pour une boîte privée d’introduire un virus volontairement dans le PC d’un particulier, mais ça m’étonnerait.





à quel moment ont-ils fait cela ? oO


votre avatar

Ton commentaire est imbitable… et comporte des erreurs corrigés par swiper.

votre avatar

:facepalm:

votre avatar







WereWindle a écrit :



à quel moment ont-ils fait cela ? oO





Ils ont exploité une faille du lecteur vidéo de Tails pour y implanter un code qui révélait la vraie IP, hors Tor, de la cible.

C’est clairement un acte de piratage informatique.


votre avatar







swiper a écrit :



Sur le fond de l’affaire ça reste compliqué, d’une côté le principe de vie privée mais de l’autre la méchanceté d’un humain qui n’est plus à démontrer. Pour son cas, je ne vois pas le problème mais que va-t-on faire des autres affaires moins évidentes ?





J’ai aucune sympathie pour cet humain.



 Par contre , il existe certaines personnes dans ce monde qui considèrent qu’il est beaucoup plus méchant de s’opposer au gouvernement. Donc légitimer un crack sous prétexte que le mec est méchant, c’est ouvrir la porte à la légitimisation pour X, Y et Z raison : Si c’est possible car la personne est méchante, combien de temps tu crois que les ayants droits vont mettre pour rappliquer en disant que oui, tous les pirates qui utilisent TOR sont aussi très méchants (de leur point de vue) ?



Ca fait parti des problèmes +/- insolubles selon moi. Les réseaux sociaux n’y sont pas étranger, non pas à cause de l’anonymisation mais à cause de l’impact et la caisse de résonance que ce genre de pratiques de harcèlement (mais on peux aussi mettre dedans le revenge-porn et autres) permet.

Finalement, on en arrive à une situation où tout le monde s’occupe dramatiquement de la vie de son prochain tout en espérant que que l’orage passe à coté.



Je me demande si , dès l’école, il ne serait pas bon de créer des mises en situation pour bien faire comprendre aux harceleurs en culotte courte ce que ça peux donner….. (parceque les 2 cours d’éducation civique en CE2, c’est vite oublié)

 


votre avatar

Du coup :




  • ça n’est pas un virus

  • ils n’ont rien modifié dans Tails



    Oui c’est du piratage informatique et oui, le fait que ce soit une boite privée qui l’ait mis en oeuvre pose des questions éthiques.



    Du coup, on va sortir un joli sophisme : valait-il mieux laisser un pervers agresser des gamines (j’ajouterais : au risque d’être tenu pour co-responsable, vu que ça se passe sur ta plateforme) ?



    (C’est un question rhétorique : ça sera à la justice US de trancher, d’une part et, n’étant pas plus au fait du corpus législatif américain que toi, il existe peut-être une clause d’intérêt légitime du public - un équivalent à la légitime défense, si tu préfères - le permettant, d’autre part. Quoi qu’il en soit ça crée un précédent fâcheux)

votre avatar







WereWindle a écrit :



Du coup :




  • ça n’est pas un virus

  • ils n’ont rien modifié dans Tails



    Oui c’est du piratage informatique et oui, le fait que ce soit une boite privée qui l’ait mis en oeuvre pose des questions éthiques.



    Du coup, on va sortir un joli sophisme : valait-il mieux laisser un pervers agresser des gamines (j’ajouterais : au risque d’être tenu pour co-responsable, vu que ça se passe sur ta plateforme) ?





    On s’en fout qu’ils n’ont rien modifié dans Tails, il se sont introduit illégalement dans le système informatique d’autrui. Ils y ont exécuté du code à son insu (pas auto-répliquant, donc pas un virus, ok), donc en France ça tomberait sous le coup de l’article 323-1.

    À partir du moment où ils l’ont dénoncé aux flics, on ne peut pas leur reprocher de n’avoir rien fait. Personne ne leur a jamais demandé de faire justice eux-même en violant la loi. Parce que là, c’est bien de ça qu’il s’agit : faire justice soi-même.


votre avatar







Paul Muad’Dib a écrit :



Cette fois-ci ça a été rendu publique mais cela montre bien qu’aucun projet libre/open-source n’est à l’abri d’ennemis intérieurs.







Toutafé. Alors t’imagines comment ça se passe dans les produits closed sources.Ca doit être 100X pire.<img data-src=" />


votre avatar







alex.d. a écrit :



On s’en fout qu’ils n’ont rien modifié dans Tails, il se sont introduit illégalement dans le système informatique d’autrui. Ils y ont exécuté du code à son insu (pas auto-répliquant, donc pas un virus, ok), donc en France ça tomberait sous le coup de l’article 323-1.





As-tu vraiment lu l’article ?

Ton ‘ils’ c’est le FBI.

Facebook c’est contenté d’acheter une faille que le FBI à utilisé.





votre avatar

“Facebook worked with a third-party company to develop the exploit and did not directly hand the exploit to the FBI; it is unclear whether the FBI even knew that Facebook was involved in developing the exploit.” (source Motherboard donnée dans la brève)



Donc non, jusqu’au moment où il a eu l’IP et l’identification correspondante, le FBI n’a (en l’état actuel de l’information) rien fait du tout. Sinon la question ne se poserait même pas, justement.

votre avatar

Tu as des idées de mises en situation pour des écoliers ou des collégiens ? Genre jeux de rôles par exemple ?

votre avatar

“développer une faille 0-day dans Tails”

Ils ont pu modifier le code de Tails ?



Je ne vois rien de tel dans la source, je table donc sur un sacré raccourci de la part de l’auteur de la brève.

votre avatar







Motherboard a écrit :



Facebook paid a cybersecurity firm six figures to develop a zero-day in Tails to identify a man who extorted and threatened girls.







Mais c’est clairement n’importe quoi comme terme…


votre avatar

Mea culpa

J’ai raté un mot !

votre avatar

Dans le doute j’ai relu une deuxième fois la source entièrement, je ne trouve toujours pas le passage que tu indiques.



Ah pardon c’est juste en dessous du titre.

Mais là pour le coup c’est évident que c’est un raccourci de l’article lui même.

votre avatar







swiper a écrit :



Sur le fond de l’affaire ça reste compliqué, d’une côté le principe de vie privée mais de l’autre la méchanceté d’un humain qui n’est plus à démontrer. Pour son cas, je ne vois pas le problème mais que va-t-on faire des autres affaires moins évidentes ?







Bah c’est pas très compliqué en fait.





  • D’un coté des gens mandatés pour faire respecter la loi et rendre la justice dans un cadre légal défini.

  • De l’autre des gens qui s’autorisent à faire respecter la morale et rendre la justice par tous les moyens.



    COP vs SJW.


votre avatar

Euh tu place ou detective privé la dedans ? Et puis qui te dit qu’il n’y a pas de cadre juridique aux US autorisant çà ?



Rien à voir avec SJW.



&nbsp;

votre avatar







alex.d. a écrit :



il se sont introduit illégalement dans le système informatique d’autrui. […]donc en France ça tomberait sous le coup de l’article 323-1.



Sauf que c’est pas la france, donc c’est pas forcément illégal, de plus le terme c’est plutôt illégitime.



Je pense pas qu’il y ait beaucoup de textes qui légalement permettent l’introduction etc, dois y avoir un truc qui autorise l’enquête par tous les moyens sous couvert d’un mandat judiciaire. Et rien ne nous dit que les gens qui ont fait çà ne l’ont pas fait justement sous couvert d’une autorité légitime.


votre avatar







nouxe a écrit :



Euh tu place ou detective privé la dedans ?





Un détective privé n’a pas plus de droits qu’un autre citoyen. Il se doit de respecter la loi.


votre avatar

Aux US ? je suis quasi sûr du contraire.



En france je connais pas par cœur le livre 6 du CSI mais rapide recherche google :&nbsp; même si les méthodes employées peuvent être qualifiées d’ «&nbsp;illicites&nbsp;», elles seront tout de même reçues à la cour si leur caractère permet de faire avancer voire de prouver de manière irréfutable la culpabilité de l’accusé dans une affaire pénale. Ainsi, une filature, un surveillance mise en place par un dispositif particulier, à l’insu de la personne visée, une infiltration, etc. pourront constituer des preuves recevables en droit pénal, ce qui n’est pas le cas aux prud’hommes.&nbsp;



&nbsp;Ce n’est pas “tous les moyens” ce sont des moyens.



Les DP sont des personnes mandatées, qui s’autorisent certains moyens pour rendre justice dans un cadre défini.

&nbsp;

Sinon, je n’avais pas parlé de plus de droit ou de manque de respect de loi (sur ce dernier point je t’apporte un élément de réflexion).

&nbsp;

votre avatar

Je place les DP au même niveau que les paparazzi, surtout dans les constats d’adultères (ce qui doit constituer la majorité de leur activité). Et DP comme paparazzi sont mandatés (ou du moins rémunéré) pour leur activité.



Dans le cas qui nous intéresse, FB a agit par conviction morale. C’est ce qui caractérise les SJW.

votre avatar

k donc plutot 1. Oui clairement pour l’adultère.

&nbsp;

J’irais franchement pas parler de SJW pour fbk ^^.

Le sjw c’est plutôt le mec un peu seul et extrême qui vient faire ses revendications sur une injustice que lui seul interprète comme tel non ?

&nbsp;

&nbsp;

Passons.

votre avatar







Babouche kebab a écrit :



Tu as des idées de mises en situation pour des écoliers ou des collégiens ? Genre jeux de rôles par exemple ?





Par exemple.

Ou études de cas concrets - a ce titre la ligue du LOL est parlante par exemple, mais il existe malheureusement des tas d’exemples.



Et oui , perso je commencerais assez tôt (genre primaire) avec déjà des explications répétés sur le consentement dans les cours de récré.

J’ai pas énormément d’expérience mais dans ma campagne profonde il y a déjà eu des histoires entre gamins de déshabillage non consenti. Alors bon, on parle de gamins, ça ne va pas les suivre toute leur vie, mais déjà partir de là pour en parler, et ensuite que ce genre de sujet soit abordé en histoire, en éducation civique , éventuellement en extra-scolaire . L’idée serait quand même que le fait de forcer quelqu’un a faire quelque chose ne soit pas considéré comme une victoire, et que se moquer (pire, harceler) soit vraiment considérer comme abject.

&nbsp;

Or aujourd’hui&nbsp; , et la ligue du LOL en est l’exemple, par mimétisme , identification et peur de la stigmatisation, il est plus simple de rigoler avec les hyènes que de simplement se détourner ou ignorer.



Alors oui, ça impliquerais que l’école forme de des gens à considérer négativement la soumission et l’obéissance aveugleà un tiers, et là, on met en cause le piédestal de la société.

&nbsp;


votre avatar

Marrant.



Je pensais que les outils comme Tails devaient être utilisées pour soutenir la démocratie et permettre aux forces du bien de se défendre face aux états totalitaires.

Au final on se rend compte que c’est surtout utilisé par des paranos et pervers pédophiles.



Et quand on en chope un, on se demande si c’est pas la porte ouverte au totalitarisme.



C’est quand même sympa du coup, on a un système entropique, qui s’auto alimente tout ça et qui se suffit à lui même pour exister. Une sorte de paranoïa applicative autojustifiée.

votre avatar

C’est pas vraiment nouveau que les criminels détournent à leur usage les technologies destinées à protéger les honnêtes gens, puis qu’ensuite dans les sphères du pouvoir “on” envisage d’interdire ou contrôler cette technologie, ce qui entraîne une levée de boucliers des associations citoyennes.



Et pas que les technologies. C’est le cas aussi des aides sociales comme l’assurance chômage par exemple.

votre avatar

Pour ceux qui qualifie Facebook de SJW parce qu’ils ont “aider le FBI”, je pense pas que ça soit le cas, allez lire la source.



Déjà le profil de la personne personne qui était ciblé était vraiment une ordure. Il pratiquais au moins des actions de 2015 a 2017 et à harcelé “des douzaines des filles victimes” en leur extorquant des vidéos intimes en les menancant, jusqu’à menacer de faires des shooting de masse et en déclarant vouloir lui même être “ le pire cyberterrorist ayant jamais existé”.

Donc c’était juste impossible que le FBI n’était pas impliqué dans la recherche. Le FBI et Facebook (et d’autres société probablement) était sur l’affaire pendant très longtemps. Selon Facebook, ils ne se sont permis d’utiliser ça que lorsqu’ils avaient épuiser toute autres options (profilage, tenter de pousser au faux pas ect). En aucun cas Facebook n’a fait cavalier seul et a agit seul dans son coin sans intervention de la justice américaine. La raison pour laquel ils sont aller aussi loin (payer une société privé pour les aider directement) était probablement due a la “taille” de la menace que représentait cette personne.



Et pour un peu plus de détail sur la faille et comment elle a été utilisé :




  • Facebook a réquisitionner l’aide d’une société privé de son coté pour trouver une faille exploitable (les centaines de milliers de dollars)

  • Facebook et la société privé on développé un outils permettant de générer des vidéo “piégé” exploitant une vulnérabilité dans le lecteur vidéo de Tails pour révéler la vraie adresse IP

  • Facebook a donner cet outils a un intermédiaire qui l’à ensuite donner au FBI

  • Le FBI ensuite acquis un mandat judiciaire et a utiliser l’outil avec une des victime pour piéger la cible.

votre avatar

oui je pense que fbk ne voulait pas prendre le risque qu’un éventuel problème leur retombe dessus je pense que ca se chiffrerait vraiment différemment …

votre avatar







nouxe a écrit :



En france je connais pas par cœur le livre 6 du CSI mais rapide recherche google :  même si les méthodes employées peuvent être qualifiées d’ « illicites », elles seront tout de même reçues à la cour si leur caractère permet de faire avancer voire de prouver de manière irréfutable la culpabilité de l’accusé dans une affaire pénale. Ainsi, une filature, un surveillance mise en place par un dispositif particulier, à l’insu de la personne visée, une infiltration, etc. pourront constituer des preuves recevables en droit pénal, ce qui n’est pas le cas aux prud’hommes. 



 Ce n’est pas “tous les moyens” ce sont des moyens.



Les DP sont des personnes mandatées, qui s’autorisent certains moyens pour rendre justice dans un cadre défini.







Les preuves peuvent peut-être être utilisées, il n’en reste pas moins que les méthodes employées peuvent être illégales et condamnables.


votre avatar

google.com Google<img data-src=" />

votre avatar



Selon un ancien employé, « dans ce cas, il n’y avait absolument aucun risque pour les utilisateurs autres que cette seule personne[…] Nous n’aurions jamais fait une action qui aurait affecté quelqu’un d’autre, comme ajouter une porte dérobée »





Pensent-ils vraiment être crédibles ?

votre avatar

Donc au final, n’importe quelle entreprise&nbsp; ayant (beaucoup) d’argent peut décider de mettre fin a des méchanismes d’anonymat pour n’importe quel utilisateur.

Et ce quelque soit le contexte.

votre avatar

Je ne connais pas l’écosystème Tails mais je suppose que l’entreprise en question a au moins un employé qui contribue au projet Tails ou qu’elle a réussi à corrompre l’un des contributeurs.



Cette fois-ci ça a été rendu publique mais cela montre bien qu’aucun projet libre/open-source n’est à l’abri d’ennemis intérieurs.

votre avatar

Je ne vois pas comment tu peux affirmer ça. L’article original ne fait absolument pas mention de ça ou de quelque chose s’en rapprochant.









Abolah a écrit :



Donc au final, n’importe quelle entreprise  ayant (beaucoup) d’argent peut décider de mettre fin a des méchanismes d’anonymat pour n’importe quel utilisateur.

Et ce quelque soit le contexte.







L’article précise bien que Facebook n’a absolument pas développé la faille 0 day, ils n’ont été que donneurs d’ordre à l’entreprise de cybersécurité pour découvrir et exploiter la faille. De plus, soit tu es extrêmement naïf ou de mauvaise foi mais bien sur que n’importe qui avec de l’argent peut faire cesser l’anonymisation d’une personne tout comme pour faire mourir quelqu’un.



Sur le fond de l’affaire ça reste compliqué, d’une côté le principe de vie privée mais de l’autre la méchanceté d’un humain qui n’est plus à démontrer. Pour son cas, je ne vois pas le problème mais que va-t-on faire des autres affaires moins évidentes ?


votre avatar







swiper a écrit :



Je ne vois pas comment tu peux affirmer ça. L’article original ne fait absolument pas mention de ça ou de quelque chose s’en rapprochant.



L’article précise bien que Facebook n’a absolument pas développé la faille 0 day, ils n’ont été que donneurs d’ordre à l’entreprise de cybersécurité pour découvrir et exploiter la faille. De plus, soit tu es extrêmement naïf ou de mauvaise foi mais bien sur que n’importe qui avec de l’argent peut faire cesser l’anonymisation d’une personne tout comme pour faire mourir quelqu’un.



Sur le fond de l’affaire ça reste compliqué, d’une côté le principe de vie privée mais de l’autre la méchanceté d’un humain qui n’est plus à démontrer. Pour son cas, je ne vois pas le problème mais que va-t-on faire des autres affaires moins évidentes ?







Effectivement la société démarchée par Facebook a à priori “seulement” développé un exploit pour la vulnérabilité qui était qui plus est connue de l’équipe Tails :https://www.zdnet.fr/actualites/facebook-s-est-offert-une-faille-0day-dans-tails…



Après ok ça a permit de mettre fin aux agissements d’un salo et montrer aux types du même genre qu’ils ne sont peut-être pas intouchables mais attention aux dérives, si les autorités font appellent à des sociétés privées sans complexe pour abaisser le niveau de sécurité de solutions utilisées par des personnes qui mettent en danger leur vie de par leurs activités/engagements personnels/profesionnels…

Et puis quid du prix payé par Facebook ? Il a été pris en charge en partie aussi par le FBI ? Ou c’est un “cadeau” fait par Facebook en échange de ?


votre avatar

On est content… Le terme “développer une faille” m’étonne aussi, ils ne l’ont pas trouvé, ils semblent l’avoir implantée !!



Les enquêteurs en PLS, ils n’ont pas pu le piéger ni suivre l’argent ? C’est quand même assez décevant, on a des profileurs qui vont créer des profils psy en piégeant des cibles.

Idem ils vont ensuite collecté des infos, manière de s’exprimer, jouer sur des infos locales (pour qu’il trahisse sa position inconsciemment), … Rien que les horaires de connexion parlent énormément.

Mais c’est une mobilisation en finesse sur un temps très très long a tenter de pousser la cible à la faute, c’est sur que défoncer un logiciel qui protège légitimement des milliers de personnes était plus pertinent …. on est pas sorti du sable…

Facebook a aidé le FBI à identifier un homme utilisant Tails pour du cyberharcèlement

Fermer