Un juge américain vient de débouter Mozilla dans sa demande d’intervention dans un procès pour pédopornographie. L’éditeur aimerait connaître les détails d’une possible faille de sécurité utilisée pour traquer des utilisateurs du réseau Tor. Il ne désarme pas, mais a désormais peu de chances d’avoir ces informations dans l’immédiat.
Jay Michaud, directeur d’école, est accusé de pédopornographie. Il lui est notamment reproché d’avoir consulté à de multiples reprises Playpen, un service de partage de contenus pédopornographiques sur le réseau Tor. L’enquête menée par le FBI a pu mettre en évidence tout un réseau d’utilisateurs, débusqué grâce à une méthode non décrite, reposant sur une faille potentielle.
Cette méthode a permis un coup de filet conséquent. Dans un premier temps, un mandat délivré par un juge de Virginie a provoqué la saisie du nom de domaine, en février 2015. Une équipe spécifique du FBI a alors relancé le service depuis une infrastructure autorisant le traçage de tous ceux qui s’y connecteraient. Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.
Mozilla veut les détails
Or, culpabilité de Jay Michaud mise à part, c’est bien cette possible faille qui intéresse Mozilla. Les accès au réseau se faisaient par Tor Browser, qui repose sur Firefox. Le raisonnement de l’éditeur est donc très simple : la faille qui a permis au FBI de pirater les utilisateurs résidait peut-être dans le code de Firefox, laissant planer un danger pour tous les autres. D’autant que la brèche suspectée est présente depuis au moins un an et demi maintenant.
Dans un billet daté du 11 mai, la responsable juridique de l’entreprise, Denelle Dixon-Thayer, expliquait qu’une demande avait été déposée au tribunal de Tacoma, Washington, pour réclamer que soit révélés les détails. Jusqu’à présent, ces derniers n’ont été communiqués qu’à la défense de Jay Michaud, ce que l’éditeur trouve illogique : « Nous ne pensons pas que cela ait beaucoup de sens, puisque la faille ne peut de fait pas être corrigée avant d’être plus largement révélée ».
Le juge renvoie vers le département de la Justice
Le juge Robert Bryan vient de décliner cette demande. Pas question pour Mozilla d’intervenir dans le procès. Selon lui, la requête de l’éditeur ne concerne pas ce tribunal, mais bien le gouvernement américain lui-même, plus précisément le département de la Justice. Lui seul est habilité à dévoiler des informations sur des failles de sécurité, aucun tribunal ne pouvant l’y contraindre.
Dans une réponse donnée à Newsweek, Mozilla indiqué qu’elle continuera à « faire pression sur le gouvernement » pour lui « faire comprendre que la meilleure chose à faire pour la sécurité de nos utilisateurs est de révéler s’il y a ou non une vulnérabilité, et dans ce cas de nous permettre de la corriger ». L’entreprise estime que toute personne découvrant une faille dans son navigateur devrait avoir la liberté de lui en communiquer les détails. Mais elle sait que la partie est perdue pour le moment.
Mozilla, Apple, même combat
Le cas est en effet très similaire à celui qui a opposé Apple au FBI. Ce dernier cherchait à obtenir les informations chiffrées stockées dans un iPhone 5c sous iOS 9. Apple ne possédant par le code de verrouillage (qui participe à la création de la clé de chiffrement), le FBI avait fait pression via une procédure juridique pour forcer l’entreprise à coopérer. Finalement, le Bureau avait fait savoir que l’aide d’Apple n’était plus requise et qu’une autre méthode, fonctionnelle, avait été trouvée.
Apple était montée au créneau : pas question de laisser se balader dans la nature une faille qu’elle ne connaissait pas. Dans un retournement de situation, la firme avait couru après le FBI pour demander de plus amples informations. Peine perdue, puisque seul le département de la Justice pouvait acquiescer à une telle demande, dont on connaît depuis la réponse.
Aux États-Unis, il faut rappeler que chaque faille transitant entre les mains d’une émanation du gouvernement passe au travers d’un processus nommé VEP, pour Vulnerabilities Equities Process. Au terme de celui-ci, il est déterminé si une brèche doit être révélée immédiatement à l’éditeur concerné, ou si elle peut être exploitée dans une opération des forces de l’ordre. D’après des chiffres révélés par la NSA, 91 % des failles seulement font l’objet d’une communication aux entreprises. Pour les 9 % restants, la situation est beaucoup plus floue.
Commentaires (38)
#1
Si le FBI/NSA l’ont trouvée, aucun doute qu’ils ne soient pas les seuls à la connaître et/ou à l’exploiter ! C’est tellement irresponsable ce jeu de c*n…
#2
Pour le coup, la réponse du juge est justifiée.
#3
C’est quand même inquiétant si tor a été cassé et qu’on exploite une faille “juste” pour de la pédopornographie.
#4
Mozilla n’aura jamais la réponse à sa question. Un jour ils boucheront cette faille sans même savoir qu’elle a pu servir.
“91 % des failles seulement font l’objet d’une communication aux entreprises. Pour les 9 % restants, la situation est beaucoup plus floue.” Toutes les failles transitent par ce processus ou uniquement celles découvertes par l’état? Qui déniche le plus de problème de sécurité entre l’état et la communauté?
#5
Il s’est fait donner par Tor et la justice lui a donné tort. C’est retors.
Sinon s’agissant de Jay Michu, je pense que la faille doit être qu’il n’avait pas sécurisé son accès avec OpenOffice.
#6
Un groupe qui trouve une faille de sécurité, l’exploite sur plus d’un millier de personnes, et refuse d’informer l’éditeur pour un correctif, on appelle ça des blackhats l’Etat.
#7
Je pense que Mozilla devrait se rapprocher de la défense si le juge accepte de leur révéler cette faille. Mozilla est un expert dans le domaine des navigateurs et possède des compétences en interne sur le réseau TOR.
Car le FBI va sûrement communiquer un truc indigeste pour les non spécialistes. Et c’est là que Mozilla a une carte à jouer.
#8
Jay Michaud pourrait simplement faire suivre le contenu de la faille à la fondation Mozilla. Sauf s’il est rancunier (c’est à cause d’eux qu’ils s’est fait gauler, quand même).
#9
Je comprends l’idée de garder des failles secrète pour l’utilisation qu’ils en font… Mais c’est complètement irresponsable d’un pure point vue de la sécurité. Une faille ouverte pour les flics c’est aussi une faille ouverte pour les black hats de tout poil…
#10
Moi je ne trouve pas. Ces enfants subissent toute la violence, la haine et la misère du monde alors qu’ils n’ont rien demandé à personne. Je trouve ça tout autant justifié que s’il s’agissait de mafia, de trafic d’arme ou de terrorisme. Plus même, que le terrorisme “occidental”. Le nombre annuel de vies détruites par le terrorisme est AMHA très largement inférieur au nombre de vies d’enfants détruites par la pédophilie. Et pas de pédopornographie sans pédophilie…. Et vice versa (ou presque).
#11
Seuls les organismes gouvernementaux ont les moyens et compétences pour infiltrer Tor, ça veut dire la NSA. Et eux je ne pense pas qu’ils s’occupent de ce genre d’affaires.
#12
#13
Moi ça ne fait pas rire.
On se doutait que la NSA avait des nœuds Tor compromis et pouvait récupérer des bouts d’information.
Mais là cette affaire montre que Tor est trouvé puisque même la justice arrive à en tirer des choses.
A moins que la faille vienne d’ailleurs (un plugin ? une extension ? social engineering?).
#14
De mon côté je n’ai jamais vraiment fait confiance à Tor. De mon point de vue la sécurité est illusoire sur Internet, Tor a certainement été bon au début, grâce à l’effet nouveauté. Le temps que les diverses parties prenant es s’y adaptent et comprennent le mécanisme.
A partir du moment où tu ne maîtrise pas la chaîne de bout en bout, la sécurité ne veut rien dire. Tor n’y changera rien à moyen terme.
#15
#16
En fait, plus que la façon dont ils ont récupérer les ip des pedophiles, c’est la façon dont ils ont pris la main sur le site en question qui serait intéressant.
Pour les IP, la première news expliquait qu’en fait, moins d’1% des “utilisateurs” du site se sont fait pécho, donc la théorie du JS laissé activé par défaut me parait la plus probable (pas une faille donc).
#17
#18
Mozilla aurait plus de chance d’avoir une réponse positive en demandant les détails à l’avocat du pédopornophile !
#19
Une faille ou autre chose…
https://lite.qwant.com/?t=web&q=Matthew+Edman+tor
#20
”… Matthew J. Edman, un ancien employé à temps partiel du projet Tor, a aidé à la création d’un logiciel malveillant « anti-Tor » baptisé Torsploit (ou encore Cornhusker) pour le Federal Bureau of Investigation (FBI), malware qui a ensuite été utilisé avec succès dans plusieurs enquêtes, y compris l’opération Torpedo.”
" />
Ce nom d’opération de ouf
#21
Les gars de Mozilla viennent faire les caliméro. Il faudrait que le FBI s’occupe de la sécurité des utilisateurs de Firefox ? Et pourquoi pas en plus leur payer les campagnes publicitaires, payer les employés, etc… ?
Et si le FBI leur demanderait quelque chose, ils refuseraient comme l’a fait Apple !
Ils veulent le beurre, l’argent du beurre et le cul de la crémière ! Faut pas pousser mémé dans les orties. Et si leur produit n’est pas sûr, rien n’empêche les utilisateurs d’en changer.
Et la sécurité des gamins qui ont subi ces actes pédophiles, ils en font quoi chez Mozilla ?
#22
#23
#24
Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.
Donc, a priori, Firefox n’y est pour rien dans la divulgation des IP. Par contre la faille qu’il contiendrait permet de s’introduire dans un ordinateur ?? Donc potentiellement hors TOR aussi.
Diantre… je me demande si ca touche tous les systèmes.
#25
Je ne pense pas qu’il y a de lien entre firefox et le piratage des ordinateurs.
" />), le FBI a réussi à en choper à peine plus d’un millier. Ca montre que la faille est assez spécifique.
Pourquoi tu dis que Firefox n’y est pour rien dans la divulgation des IP ?
On n’a aucune info sur la façon dont ils ont eu accès au site, par contre à priori les IP des visiteurs ont été récupéré par une “faille” de firefox. Je met entre guillemets, car la dernière “faille” de tor browser utilisait Adobe Player, et il y a des chances pour que cette faille soit du même niveau (au hasard, un exploit JS pour choper l’IP de ceux qui l’on laissé activé).
La dernière news parlait de 200 000 inscrits sur ce site (ça fait peur
#26
#27
#28
#29
#30
#31
En aucun cas le “FUD” des US ne m’atteint puisque je ne m’intéresse absolument pas à ce qui se passe dans ce pays. Je regarde chez moi, au pas de ma porte, et je trouve qu’il y a déjà bien à faire, à dire, à commenter, à critiquer, et donc à améliorer.
Le raisonnement que je tiens n’est pas nouveau et ne date pas de Tor.
Je ne prône pas l’absence de sécurité au prétexte qu’elle serait toujours compromise. Seulement je ne me voile pas la face. Ce n’est pas parce que je met tout en place pour sécuriser mes échanges que je sais de manière omnisciente que cette sécurité est absolue.
#32
#33
Opération Espadon était déjà pris.
#34
Si la NSA te donne se moyen, qu’est ce qui dit que tu ne vas pas t’en servir pour tuer des innocents ? Tu es peut-être toi-même un terroriste qui va vouloir utiliser ce tout nouveau système.
Ensuite, quand bien même tu n’es pas un terroriste, si tu annonces à tout le monde comment fonctionne ton système, les terroristes vont pouvoir trouver une solution pour contrer le système de la NSA.
#35
Non, c’est un gars, nommé Jay Michaud, qui utilisait Firefox…
Et il n’est probablement pas le seul pédophile à faire ça…
Mais à ce que je vois, tu veux jouer au plus con en faisant semblant de ne pas comprendre ce que j’ai écrit.
#36
Il n’est pas question de dévoiler la faille au public… mais seulement à la société qui fabrique le produit qui est défaillant.
#37