La fondation Mozilla a déposé un recours devant un tribunal américain pour obtenir la faille qui aurait été utilisée pour identifier des utilisateurs de Tor Browser, qui s'appuie sur Firefox. Dans le même temps, elle a lancé un appel à candidatures pour financer des projets web open source, avec une enveloppe de 1,25 million de dollars.
Mozilla veut obtenir la faille de Firefox dont le FBI disposerait. Dans un billet de blog, la fondation explique avoir déposé un recours dans le cadre d'une affaire criminelle impliquant le bureau, au sujet d'une vulnérabilité de Tor Browser. L'affaire en question : le démantèlement en début d'année dernière de Playpen, un site d'échange de contenus pédopornographiques avec 215 000 membres inscrits, que le FBI a saisi et maintenu pendant près de deux semaines, pour piéger ses utilisateurs.
Obtenir les failles de Firefox avant les autres
Pendant cette période, les autorités ont ainsi réussi à obtenir 1 300 adresses IP d'utilisateurs de Tor Browser, dont le but est justement de la masquer. « Certains ont spéculé, y compris des membres de la défense, que la vulnérabilité existerait dans la portion du code de Firefox sur lequel s'appuie Tor Browser » affirme la fondation. Pour le moment, la cour a ordonné au FBI de fournir la faille en question à la défense, mais pas aux développeurs des outils incriminés.
Dans son recours, l'organisation demande ainsi au tribunal d'obliger le gouvernement à lui fournir la faille en question. Jusqu'ici, le FBI se serait même refusé à préciser si la vulnérabilité était connue de Mozilla ou non. La fondation veut s'assurer que si une faille de Firefox est communiquée, elle le sera d'abord à elle, et non à un tiers.
Plus généralement, Mozilla estime que les communications de faille par la justice devraient suivre les meilleures pratiques en matière de publication. En clair, l'entreprise concernée devrait recevoir prioritairement ces informations, pour régler rapidement le problème. De quoi jeter un peu plus d'huile sur le feu dans cette affaire, dans laquelle le FBI est déjà largement critiqué pour avoir distribué des images pédopornographiques pendant plus d'une semaine pour identifier les utilisateurs.
Un financement renforcé de l'open source
Sur une note plus positive, Mozilla a annoncé en parallèle étendre son programme de financement des technologies web open source. Le Mozilla Open Source Support (MOSS) s'ouvre ainsi à tous les projets. Il était jusqu'ici réservé à ceux sur lesquels les produits de la fondation s'appuyaient directement, dans sa première édition lancée en octobre.
Cette seconde ligne de financement « est ouverte à tout projet open source qui entreprend une activité qui fait avancer les missions de Mozilla de manière significative », affirme la fondation. Elle précise d'ailleurs qu'un projet n'a pas besoin d'être lié à elle ou en anglais pour obtenir un financement. Pour cette année, l'organisation a réservé une enveloppe de 1,25 million d'euros. Les candidatures peuvent être déposées jusqu'au 31 mai. Après cette date, toute proposition sera étudiée en continu, et non dans ce premier lot.
Les premiers sélectionnés seront désignés au mois de juin. Sur son wiki, l'organisation indique déjà préparer une troisième étape, dédiée cette fois aux projets open source « sûrs », l'une des principales préoccupations du moment, y compris du côté de Mozilla.
Commentaires (78)
#1
cette histoire d’amour sans fin entre le FBI et le monde des IT…
" />
" />
La faute à Apple s’ils boudent maintenant
#2
Alors, faille où : protocole TOR ou FF ?
Si c’est FF, ça risque de toucher beaucoup de monde… À suivre !
#3
#4
En lisant l’article j’ai un doute, c’était un site porno legit sur tor ?
" />
#5
#6
#7
Pour des images porno ??? Tout ça pour des images de teub ??? Putain mais faut annexer ce pays de décérébrés c’est pas possible.
#8
C’est quoi le problème avec le porno ? Ça a été interdit et je m’en suis pas rendu compte ?
#9
Le site s’appelait playpen, soit le nom des parcs dans lequel on met bébé pour ne pas qu’il traîne partout dans la maison… On peut donc supposer qu’il était très spécialisé
#10
The FBI took over a dark web child-pornography site called Playpen last year and, rather than shut it down, used a secret, still-undisclosed
https://theintercept.com/2016/05/12/mozilla-wants-heads-up-from-fbi-on-tor-brows…
#11
cette histoire d’amour sans fin faille entre le FBI et le monde des IT… 
" />
" />
#12
Oui, c’était bien de la pornographie infantile … fail.
#13
#14
ouais il doit manquer un préfixe au sujet.
#15
Simple, ils ont fait appel à Mr Robot
" />
#16
Avec un navigateur pas à jour probablement.
Il y a plein de failles dans les anciennes versions.
#17
MOSS ? Maurice MOSS ?
" />
#18
C’est bien beau de faire des enquêtes sur la lenteur des mises à jour systèmes sur les OS mobiles quand dans le même temps les agences gouvernementales étudient et gardent pour eux des failles 0-days….
Parce que là, la faille a servie pour du pr0n pedo, mais elle est sûrement exploitable et déjà exploitée dans d’autres cadres…
#19
Ou pas de faille ni dans l’un ni dans l’autre… Le FBI a déjà plusieurs fois piégé des sites web sur TOR en utilisant des scripts / applis flashs qui sont exécutés par le client et se connectent ensuite à un serveur chez eux sans passer par TOR. Reste à savoir si le navigateur de Mozilla est le seul à avoir été touché ou pas.
#20
“215 000 membres inscrits”
Il n’y aurait tout de même pas un peu de pipotage? Déjà combien de personnes savent utiliser Tor? (j’ai beau être un geek j’ai jamais fait l’effort de m’y connecter).
Et dans le monde, il y aurait 215000 pédophiles qui aurait pris le risque et fait l’effort de trouver le site sur Tor, et de s’y creer un compte (payant je suppose)?
D’ailleurs en 15 jours le FBI n’a trouve que 1300 IPs? donc 90 utilisateurs qui se sont connectes par jour?
#21
La faille a servit a détecter le pedo pron, pas à le créer. Donc sur le coup plutôt bon point.
#22
#23
#24
#25
Naviguer sur le web avec tor et administrer un hidden service web (un site caché) sont deux choses complètement différentes
#26
webRTC?
#27
(doublon, sry)
#28
Bof, j’imagine que le FBI a exploité les faiblesses du protocole WebRTC qui permet de récupérer l’adresse IP publique d’un internaute, même derrière un VPN ou Tor…
http://korben.info/proteger-faille-webrtc.html
#29
Je croyais que l’intérêt de Firefox, c’était qu’il était open source, et par conséquent, les failles étaient rapidement corrigées car plus facilement détectables… 
" />
#30
Tu diras toujours bon point si elle sert à détecter les frondeurs, les écologistes, les partageurs, les Nuit debout, les FN ou les En marche ?
“Quand ils sont venus chercher les socialistes, je n’ai rien dit
Parce que je n’étais pas socialiste”
#31
#32
Faux, PEDO-porn. Donc oui, illégal.
#33
PEDO-porn, faut apprendre à lire. ;)
#34
Idem ici, PEDO-porn.
#35
Justement… plus facilement détectables ET exploitables par les FBI/NSA/CIA & consors…
" />
#36
#37
l’article a peut être été édité : calmos sur le multipost :o
edit :
#38
Ca peut aussi simplement être une exploitation des faiblesses structurelles de TOR, dans ce cas pas de raisons d’en parler à Mozilla
#39
Un rêve : Le FBI fait ça pour un autre site, genre en France… et se fait flasher par Hadopi !
" />
Ça serai le sketch de l’année !
#40
Laissons les terroristes en liberté pour éviter qu’un jour ce soit les citoyens lambda qui soient mit eux aussi derrière les barreaux?
“Quand ils sont venus chercher les terroristes, je n’ai rien dit
Parce que je n’étais pas terroriste”
Le risque de dérive n’est pas une raison suffisante pour empêcher quelque chose. On doit bloquer les dérives pas les moyens qui peuvent les permettre. Ou sinon autant interdire de-suite internet.
#41
Kamoulox ?
Il dit qu’il voit pas le rapport
#42
Ça a été modifié par la suite dans l’article. Merci de pas t’emballer.
Mais j’ai peine à croire qu’un site pédopornographique puisse atteindre 215 000 inscrits ?? C’est vraiment improbable. Il doit manquer des infos là.
#43
1 300 / 215 000 ça fait entre 0,5 et 1%, on pourrait penser que c’est à peu près le pourcentage d’utilisateurs de Tor qui laissent le JS ou Flash. Maintenant, faut voir le nombre réel des 215 000 qui se sont connecté pendant les 15 jours ou le FBI avait la main sur ce site, mais c’est probablement plus que 1 300. Après, il me semble aussi que les anciennes de version de Tor Browser avaient des failles corrigés depuis.
#44
Tu aurais donc donné les résistants de la 1e et 2e guerre mondiale,
considérés comme des terroristes.
A notre époque, tu demandes la tête de Snowden et d’Assange.
#45
Ce logiciel Tor sert à quoi d’autre si ce n’est de propager de l’illégal ?
Le pire c’est qu’il a reçu le prix du logiciel libre, donc je pense qu’il faut surveiller de très pres tout ces terroristes qui programment en licence libre, ils ne savent pas programmer et ne possèdent pas les moyens financier pour corriger des failles informatique: le résultat est catastrophique et fais perdre du temps au FBI qui au lieu de perdre du temps à chercher des failles pourrait jouir d’un backdoor dans un logiciel propriétaire et faire fermer tout ces réseau néfaste beaucoup plus rapidement et de manière moins couteuse.
#46
Avant d’atteindre le point godwin je t’encourage vivement a lire la définition de terroriste/terrorisme. Ce n’est pas aussi simple que tu sembles le croire.
#47
Atomic 
" />
#48
Sur la précédente brêche :
“The FBI used a vulnerability in Firefox 17, on which the Tor
browser is based, to turn Freedom Hosting sites into malware spreading
tracker tools. It all works on the Firefox 17 JavaScript Zero Day
Exploit; this malicious script is a tiny Windows executable hidden
variable named “Magneto” which looks for victim’s MAC address and its
hostname and sends it back as a HTTP web request to the Virginia server
to expose the user’s real IP address. The FBI successfully gained access
to the Freedom Hosting server and injected malicious HTML code, which
checks whether the user’s browser is Firefox 17 or not.”
l’exploit en détails
http://resources.infosecinstitute.com/fbi-tor-exploit/
#49
#50
#51
Pour ceux qui tiennent à l’anonymat, commencez par créer une VM sous Linux avec chiffrement de disque.
Connectez votre machine hôte à un VPN, puis lancez Tor depuis votre VM.
#52
#53
Sauf que Tor Browser désactive les deux.
#54
J’ai l’impression que la plupart de ces sites (comme nos sites torrent d’ailleurs) obligent à s’inscrire.
Si c’est idiot ça l’est pour nous aussi qui utilisons de vraies adresses mail à l’inscription sur t411…
#55
Je te renvoies ta remarque.
#56
I don’t know if troll or stupid…
Tor c’est l’anonymat. Figures-toi qu’il existe des gens qui ne vivent pas avec la liberté d’expression. D’autres qui en ont juste besoin pour lancer des alertes sans être accusés de trahison.
#57
à un VPN? pour l’anonymat?
(et à quelqu’un à qui j’avais suggéré Tor+vpn, on m’avais répondu qu’il existait un risque que Tor soit inefficace)
#58
#59
C’est quoi une middlebox ?
Sinon, quel est le vrai intérêt d’un VPN quand on passe par Tor ?
Tu parles de VPN à l’étranger, mais quel pays ne collaborerais avec un pays tel que les Etats Unis ?
#60
#61
Bah j’ai lu rapidement, mais ça m’a pas paru très clair. C’est juste pour s’assurer que la VM communique uniquement Tor, en gros ?
C’est pas déjà assuré si on passe par une VM style Tails ?
#62
#63
#64
#65
#66
Tor Browser c’est un bricolo de toute façon, la meilleure façon pour l’anonymat (en dehors d’utiliser Tails) est une tor middlebox.
" />
De plus, cette middlebox anonymise l’ensemble du trafic, pas seulement la navigation web. Elle fonctionne quel que soit l’O.S. invité (je le fais même avec une VM Android), mais bien sûr l’O.S. guest est Linux.
(Oops, grillé !)
#67
100% d’accord !
Attention à l’O.S. invité cependant.
Imaginons que vous ayez réussi à passer les nombreuses barrières vérificatrices du “numéro de licence”, et que vous ayez mis Slurpware 10 dans la middlebox.
Ce qu’il va se passer si vous naviguez sur "http://site.interdit.com”, c’est que le FBI va facilement vous retrouver.
Démonstration :
En effet, lorsque Slurpware 10 démarre il fait un “call home” avec le numéro unique de la machine. Ainsi, même si l’IP est “torrifiée”, le rapprochement devient facile à faire et même nominatif.
Il en va aussi de même si vous naviguez sur un site qui peut vous reconnaître : mail, etc…
#68
#69
#70
#71
#72
#73
Enfin pour l’anonymat, j’aurais plutôt tendance à faire un coup de aircrack & cie sur un pc à part pour passer par la connexion mal sécurisée d’un tiers pour utiliser internet de façon plus ou moins anonyme. (si j’en avais la volonté)
Dans la mesure ou vous vous servez de votre connexion, il y a des chances que vous puissiez être retrouvé, y compris avec tor & cie…
#74
#75
Le WPA-TKIP si.
#76
so,
" />
#77
Je ne comprends pas pourquoi lorsqu’ on utilise Tor Browser, on est immédiatement reconnu par certains sites (en dehors du réseau Tor) comme utilisant Tor.C’est comme se pointer à une convention de pompiers habillé en policier.
“TOR detected IP addresses of Tor exit nodes are known. It means that it’s known that you use anonymous network and your actions may be defined as suspicious”.
En gros, hors raiseau Tor (donc sur l’internet normal) on est plus “suspect” comparer à un utilisateur d’un simple VPN. C’est pour moi un gros défault pour un logiciel dont le but est de protéger l’identité de l’utilisateur si dès le départ les projecteurs se tournent sur nous à peine débarqué sur un site.Au lieu de tracer x personnes au hasard (des pompiers parmi d’autres pompiers) il suffit déjà de se focaliser sur celui arborant un beau panneau sur le front “je ne fais que passer, faîtes comme si je n’étais pas là” - Le type qui n’a toujours pas compris que dans Hitman, pour passer inaperçu au milieu d’une foule, c’est peut-être dans un premier temps mieux de choisir le bon déguisement ;-).
Le pire c’est que le logiciel fait tout un pataquès lorsqu’on modifie la taille de sa fenêtre.Donc vous avez tout un tas de gens qui surf par exemple en 1920x1080 et vous vous pointez avec votre 1000 x 900 qui, comme par hasard, est à la fois atypique et typique de Tor Browser.C’est encore une fois pas logique d’attirer l’attention sur soit quand on veut passer inaperçu.
Donc soit il faut limiter l’utilisation de Tor Browser au seul réseau Tor (et l’indiquer clairement à l’utilisateur lors de l’instalation du programme), soit faire en sorte qu’il apparaisse comme un navigateur lambda si on l’utilise aussi sur internet.Soit je suis un couillon et je n’ai pas compris qu’il ne fallait SURTOUT PAS utiliser Tor Browser en dehors de son réseau Tor.Soit Tor Browser est quelque part un hameçon à couillons et certains sites peuvent servir d’appâts (c’est un peu comme à la pêche, chaque poisson necessitant un appât et une technique de pêche spécifique).