Le FBI a réagi aux accusations de Roger Dingledine. Une porte-parole de l’agence a indiqué à Ars Technica : « L’allégation selon laquelle nous avons payé [l’université] un million de dollars pour pirater le réseau Tor est inexacte ». Mais cette protection ressemble à celle de Carnegie Mellon : on ne sait pas si le FBI réfute le montant ou toute implication dans cette opération.
Dans une communication publiée mercredi, le responsable du projet Tor accuse directement les chercheurs de l’université Carnegie Mellon d’avoir été payés par le FBI pour mener une attaque contre le réseau. Objectif de l’opération, désanonymiser les utilisateurs et obtenir leurs adresses IP, normalement masquées sur Tor.
Plusieurs documents dérobés par Edward Snowden ont montré que les autorités américaines s’intéressaient de près - et depuis longtemps – au réseau Tor. Ce dernier permet d’anonymiser les communications dans une certaine mesure, mais aucune protection ne garantit une sécurité absolue. Des informations avaient montré comment le FBI et la NSA notamment s’inséraient dans le réseau afin de retirer la cape d‘invisibilité de certains utilisateurs.
Des accusations très directes
Dans un communiqué publié mercredi soir, le responsable du projet Tor, Roger Dingledine, s’en prend à la célèbre université Carnegie Mellon. Il accuse l’établissement et surtout ses chercheurs d’avoir reçu du FBI au moins un million de dollars pour monter une opération contre le réseau et obtenir les adresses IP des utilisateurs.
Les raisons précises qui poussent le responsable à accuser cette université ne sont pas connues, mais certains éléments montrent que le communiqué n’est pas dénué de fondement. Un article de Motherboard, publié quelques heures avant, révélait des éléments troublants. Il montrait ainsi comment un établissement universitaire (dont le nom n’est pas connu) avait aidé le FBI à lever l’anonymat des conversations de certaines cibles, et tout particulièrement de Brian Richard Farrell, alias DoctorClu du réseau Silk Road 2.0.
L'attaque serait liée à la recherche de preuves dans l'affaire Silk Road 2.0
L’attaque aurait été mise en place entre janvier et juillet 2014, après l’arrivée de cette version 2.0 du réseau qui servait à vendre, pour rappel, de nombreuses marchandises interdites (drogues, armes à feu…). Brian Richard Farrell avait été arrêté pour sa part en janvier 2015. Le 30 juillet 2014, Tor avait indiqué avoir repéré des relais qui tentaient manifestement de retirer l’anonymat des utilisateurs.
Une semaine avant, deux chercheurs de Carnegie Mellon, Alexander Volynkin et Michael McCord annulaient tout à coup une présentation qu’ils devaient faire à la conférence Black Hat. Le sujet : comment 3 000 dollars de matériel pouvaient suffire à désanonymiser les communications et les utilisateurs sur le réseau Tor, grâce notamment à des failles de ce dernier. L’université n’avait pas donné de raison sur cette annulation.
Pour Roger Dingledine cependant, l’explication ne fait aucun doute : il fallait empêcher que le lien soit trop évident. C’est la raison pour laquelle il n’hésite plus désormais à nommer directement l’université dans son communiqué, condamnant fermement ce type d’attaque. Il indique que les membres du groupe encouragent les autorités à enquêter de « manière éthique » sur le réseau, se tenant d’ailleurs prêts à les aider si nécessaire. Mais une telle attaque montre des dérives importantes pour Dingledine, notamment le recours à une université pour faire ce qui, normalement, est le travail de la police.
L'université ne nie pas vraiment l'attaque
Il manque cependant un véritable chainon dans le développement réalisé par Dingledine : la preuve qu’il s’agit bien de Carnegie Mellon. Interrogé par Ars Technica à ce sujet, le responsable du projet Tor n’a pas souhaité répondre.
Il est en tout cas intéressant de constater que l’université, elle, n’a pas directement nié les faits. Ed Desautels, du département des relations publiques, a ainsi indiqué à Wired : « J’aimerais voir la preuve de ce qu’ils affirment. Je ne suis au courant d’aucun paiement ». Ce qui ne remet pas en cause la participation elle-même et les demandes du FBI. Le bureau ne s’est pas encore exprimé à ce sujet non plus.