Dans une communication publiée mercredi, le responsable du projet Tor accuse directement les chercheurs de l’université Carnegie Mellon d’avoir été payés par le FBI pour mener une attaque contre le réseau. Objectif de l’opération, désanonymiser les utilisateurs et obtenir leurs adresses IP, normalement masquées sur Tor.
Plusieurs documents dérobés par Edward Snowden ont montré que les autorités américaines s’intéressaient de près - et depuis longtemps – au réseau Tor. Ce dernier permet d’anonymiser les communications dans une certaine mesure, mais aucune protection ne garantit une sécurité absolue. Des informations avaient montré comment le FBI et la NSA notamment s’inséraient dans le réseau afin de retirer la cape d‘invisibilité de certains utilisateurs.
Des accusations très directes
Dans un communiqué publié mercredi soir, le responsable du projet Tor, Roger Dingledine, s’en prend à la célèbre université Carnegie Mellon. Il accuse l’établissement et surtout ses chercheurs d’avoir reçu du FBI au moins un million de dollars pour monter une opération contre le réseau et obtenir les adresses IP des utilisateurs.
Les raisons précises qui poussent le responsable à accuser cette université ne sont pas connues, mais certains éléments montrent que le communiqué n’est pas dénué de fondement. Un article de Motherboard, publié quelques heures avant, révélait des éléments troublants. Il montrait ainsi comment un établissement universitaire (dont le nom n’est pas connu) avait aidé le FBI à lever l’anonymat des conversations de certaines cibles, et tout particulièrement de Brian Richard Farrell, alias DoctorClu du réseau Silk Road 2.0.
L'attaque serait liée à la recherche de preuves dans l'affaire Silk Road 2.0
L’attaque aurait été mise en place entre janvier et juillet 2014, après l’arrivée de cette version 2.0 du réseau qui servait à vendre, pour rappel, de nombreuses marchandises interdites (drogues, armes à feu…). Brian Richard Farrell avait été arrêté pour sa part en janvier 2015. Le 30 juillet 2014, Tor avait indiqué avoir repéré des relais qui tentaient manifestement de retirer l’anonymat des utilisateurs.
Une semaine avant, deux chercheurs de Carnegie Mellon, Alexander Volynkin et Michael McCord annulaient tout à coup une présentation qu’ils devaient faire à la conférence Black Hat. Le sujet : comment 3 000 dollars de matériel pouvaient suffire à désanonymiser les communications et les utilisateurs sur le réseau Tor, grâce notamment à des failles de ce dernier. L’université n’avait pas donné de raison sur cette annulation.
Pour Roger Dingledine cependant, l’explication ne fait aucun doute : il fallait empêcher que le lien soit trop évident. C’est la raison pour laquelle il n’hésite plus désormais à nommer directement l’université dans son communiqué, condamnant fermement ce type d’attaque. Il indique que les membres du groupe encouragent les autorités à enquêter de « manière éthique » sur le réseau, se tenant d’ailleurs prêts à les aider si nécessaire. Mais une telle attaque montre des dérives importantes pour Dingledine, notamment le recours à une université pour faire ce qui, normalement, est le travail de la police.
L'université ne nie pas vraiment l'attaque
Il manque cependant un véritable chainon dans le développement réalisé par Dingledine : la preuve qu’il s’agit bien de Carnegie Mellon. Interrogé par Ars Technica à ce sujet, le responsable du projet Tor n’a pas souhaité répondre.
Il est en tout cas intéressant de constater que l’université, elle, n’a pas directement nié les faits. Ed Desautels, du département des relations publiques, a ainsi indiqué à Wired : « J’aimerais voir la preuve de ce qu’ils affirment. Je ne suis au courant d’aucun paiement ». Ce qui ne remet pas en cause la participation elle-même et les demandes du FBI. Le bureau ne s’est pas encore exprimé à ce sujet non plus.
Commentaires (83)
#1
Il indique que les membres du groupe encouragent les autorités à enquêter de « manière éthique » sur le réseau, se tenant d’ailleurs prêts à les aider si nécessaire.
Auto-FUD qui fait pas mal jazzer " />
#2
« J’aimerais voir la preuve de ce qu’ils affirment. Je ne suis au courant d’aucun paiement »
Coller ici un Trollface.
#3
vive le droit de l’anonymat! hein? ce n’est pas considéré comme étant un droit? " />
#4
#5
prochaine étape: on retire les rideau et on pose des camera dans les isoloirs lors des votes, pour notre sécurité bien sur…
#6
#7
je critique plus la méthode et les moyens que le pourquoi: “tor nous em* donc on attaque tor, tant pis pour les autres gens”
#8
L’université ne nie pas vraiment l’attaque
L’université ne Tor pas le cou aux rumeurs " />
–> []
#9
Carnegie Mellon, entre le marteau et l’enclume.
" />
#10
ils ont la grosse tête n’empêche, à Carnegie…
#11
#12
#13
#14
On appréciera l’ironie quand on sait que la techno de routage en oignon a été développée pour les militaires US " />
#15
C’est toujours le même problème.
Casser l’anonymisation dans certaines situations est très majoritairement jugé acceptable, voire souhaitable (trafics divers, pédophilie…), mais à partir du moment où on permet à une organisation de se doter d’un moyen de casser les mécanismes d’anonymisation dans certains cas, on ne peut jamais être totalement certains qu’elle ne l’utilise pas dans d’autres cas où on aurait préféré qu’elle s’abstienne.
#16
et toujours financé par eux il me semble.
#17
Là je suis pas allé vérifier, mais ça semble pas déconnant
#18
The source of the $1 million figure came from “friends in the security community,” Roger Dingledine, director of the Tor Project, told WIRED.
(rires)
Merci de relayer ces infos fiables … ah oui, il y a un conditionnel, donc c’est bon.
#19
surtout que c’est pas vraiment le fond de l’article…
Pas trop fan du titre non plus, c’est un peu pour buzzer j’ai l’impression.
#20
pfff, allez c’est parti : démonstration d’intelligence.
#21
Tiens sujet superbe !
Qui m’avait torpiller ici même en disant que Tor n’était pas tomber ?
Bah dommage il est dit clairement qu’il a été ouvert …
Le phénomène de meute : toujours aussi basique et efface. J’ai deux chiens et je constate les mêmes agissement.
Note : C’est une parenthèse nullement contre toi action fighter (j’en profites pour la placer sur ce sujet).
#22
#23
Tu est dépassé mon pauvre, tu est vieux d’ésprit :
https://www.youtube.com/watch?v=tw1lEOUWmN8
Les “c’était mieux avant” passez votre chemin , sinon ca va secouer dur !
[J’en fais un peu parti et m’accepte ainsi]
#24
#25
“Dark web” pour toi = arme drogue pédophlilie etc ?
" />
… c’est juste le web libre, à ce propos connaissez-vous un krawler d’IP ?
#26
Non ils ont juste exploiter la faiblesse du réseau : injecter des noeuds vérolé (en entrée et en sortie)!
Puis injecté un trafic bien particulier pour tracer la sortie : c’est simple.
Ceux qui connaissent le fluorescine doivent comprendrent " />
#27
Tu as trop commandé sur Silk Road. " />
#28
faut que t’arrête de tout prendre au premier degré, je vais quand même pas t’expliquer la blague, je te laisse chercher… " />
Ricard a compris tout de suite d’ailleurs, ainsi qu’OlivierJ. " />
#29
yep la navy mon colonel !
#30
pas le temps de chercher …. " />
je compose une song en même temps !
#31
#32
#33
#34
Je pense que tu vas avoir du mal à convaincre avec la comparaison de ta chambre.
#35
#36
Un réseau réellement anonyme n’est pas une bonne idée.
C’est en contradiction avec la démocratie: En démocratie, la majorité décide “ça, tu peux pas faire”. Si tu as un système qui te permet de le faire en étant anonyme aux yeux de la loi, alors, la décision démocratique n’est pas respectée sans que tu risques rien.
Ce qu’il faut, c’est un réseau de confiance, où l’anonymat peut être levé en cas de recours en toute transparence.
Par exemple, on peut imaginer un réseau où l’information sur l’identité X d’une ip en fin de chaîne est découpée en morceau et distribuée chez des associations citoyennes, éventuellement dans plusieurs pays.
Si une autorité judiciaire veut l’information, il faut que toutes les associations acceptent de collaborer (sur base de critères prédéfinis).
Si les justifications sont douteuses ou la raison n’est pas éthique, peu de chance que les associations collaborent. Il n’y a donc pas beaucoup de risque pour la surveillance ou la lutte contre la dissidence.
L’argument habituel est le fantasme qu’un gouvernement peut obtenir toutes les informations en faisant pression sur des tas d’acteurs sans que personne ne dénonce cela. Si les pressions peuvent exister, elles sont très inefficaces pour obtenir les infos chiffrées. Les USA mettent la pression sur Assange, les journalistes du Guardian, et même Jérémie Zimmerman. Est-ce que ces gens leur donnent leur disque dur en échange ?
#37
#38
Y a pas de colonel dans la Navy " />
(l’équivalent, c’est Capitaine)
#39
C’est pas très éloigné de l’internet actuel (hors Tor). Il y a la possibilité d’un certain anonymat mais en cas de litige, la justice peut dans la plupart des cas demander au FAI de connaître l’abonné derrière une IP.
Les “associations citoyennes” (des humains comme tout le monde) n’auraient pas de légitimité pour gérer de type de données.
#40
Le routage en oignon aussi. Quand les réseaux ont commencés à être massivement utilisé par autre chose que des hippies universitaires et des militaires (la Navy comme le faisait remarquer ledufakademy), ces derniers se sont rendus comptes qu’ils auraient besoin d’anonymat, ils ont développé la chose " />
#41
Tu veux plutôt dire que Carnegie et le FBI sont de bons amis " />
#42
Au contraire, c’est un très bon exemple que ce n’est pas contradictoire.
Si la société a décidé que l’état peut avoir accès à ces données, c’est la décision citoyenne, et donc, il n’y a pas de problème.
Si la société a décidé que l’état ne peut pas avoir accès à ces données, là, on me répond “mais l’état s’en fout de la décision démocratique, il fera des pressions et obtiendra les infos”, ce qui est faux.
Si maintenant tu n’es pas d’accord avec les décisions citoyennes, libre à toi de militer pour un changement. Tu peux même, si tu veux, faire de la désobéissance civile (c-à-d considérer que ton opinion particulière est vraie alors qu’en fait, elle ne l’est p-e pas). Mais il faut assumer, et assumer les conséquences si on te reproche de participer au développement d’un outil qui permet également de faire des choses néfastes.
#43
Allons tu le sais très bien. Le terme de Dark Web désigne les sites (ou forums) plus ou moins cachés sur des serveurs confidentiels (ou pas cachés mais fermés au grand public) où on peut se procurer et s’échanger des choses illégales (pas forcément des armes, mais illégales). C’est du fait de leur activité qu’ils sont qualifiés de sombres. Un peu comme les quartiers mal famés où on peut se procurer des choses illégales en tous genres.
#44
Les associations citoyennes n’auraient aucun pouvoir, vu que les données ont été découpées, celles-ci seraient inutiles.
Elles ne sont là que comme garde-fou, pour éviter de désigner un unique gardien qui peut avoir un conflit d’intérêt.
C’est la méthode habituelle: l’“opposition” en politique elle-même est une association citoyenne (au sens large)
#45
Je suis plutôt d’accord avec tes propos, mais je me permets de te signaler que “citoyen” est un nom commun et non un adjectif, l’adjectif étant “civique”. On peut pas parler de “geste citoyen” ou “mouvement citoyen”, mais de geste civique et de mouvement civique (comme pour les mouvements des droits civiques aux US dans les années 60). Vu la mode ces dernières années de coller du citoyen partout, je me bats sans doute contre des moulins à vent, mais tant pis :) .
" />
#46
#47
#48
Les universités ne sont pas là pour faire plaisir à nos amis hacker. La recherche fondamentale comme la recherche opérative font parties de ces compétences.
#49
Ironie de l’histoire, le FBI attaque un outil qui a été financé sous contrat par l’U.S. Naval Research Lab (et déjà développé par son responsable actuel). " />
#50
#51
#52
a 23 piges sa fait toujours plaisir a entendre " />
d’abord, merci pour la vidéo que je regarderai lorsque j’aurai un moment
concernant le “c’était mieux avant” c’est pas du tout mon style, on a trop tendance a angélisé le “avant” mais avant les femmes se faisait violer et fallait qu’elles se taise car c’était une honte, avant on avait pas autant de droit sociale (smic, 35h, syndicats (même si je n’approuve pas leurs méthodes actuelles)) et plein d’autres choses…
a mon humble avis, le problème qu’on rencontre actuellement c’est qu’on reproche certains petit détail quand le problème est beaucoup plus gros, par exemple, c’est comme si on a un tuyaux rempli de fuites d’une qualité très médiocre et que on ressoudait les fuites comme on peut malgré que le tuyaux soit de piètre qualité et que pendant ce temps la une autre fuite apparait plus loin, nécessitant plutôt un changement du tuyau…
#53
#54
Plus pose obligatoire de camera reliées au ministre de l’intérieur chez toi pour s’assurer que tu ne prépare pas un attentat.
#55
Mdr ouai si t’es pas terroriste t’a rien a cacher et tu dois accepter de donner l’accès a toute ta vie privée. ^^
#56
le Carnegie melon lol.
CQFD
c’est mieux que le melon du Vaucluse ?
#57
ben justement non , on se met dans l’ombre pour mieux voir et écouter … cf. sujet sur l’espace !
Par pour faire le mal obligatoirement, mais bon c’est un point de vue.
#58
#59
C’est le FBI, pas la police.
#60
Ça n’a pas l’air de l’empêcher de dormir Roger Dingledine de savoir que son oeuvre est utilisée à des fins détournées (traffic d’arme, pédophilie, vente de drogues).Il devrait avoir une part de responsabilité non ? Si TOR ça peut servir à ça, alors on peut aussi s’en passer !
#61
Le FBI est la police fédérale, c’est à dire s’occupant des crimes et délits qui se produisent sur plus d’un état, et tout ce qui est d’importance un peu nationale.
#62
Tor est bien pratique, mais je ne comprend pas cette gueulante non plus. La supériorité de Tor doit-être technique, pas basée sur une sorte de pacte de non agression.
#63
Aucune preuve et ils donnent la somme d’un million de dollars… LOL.
#64
#65
Magnifique MaJ. On a donc confirmation que c’est arrivé. Gratuitement.
#66
#67
#68
en meme temps TOR sert trés majoritairement a avoir des liens vers du contenu illégal il y a peu de chats blancs.
On peut critiquer mais difficilement faire la vierge effarouchée
#69
#70
Merci de ne pas propager des préjugés.
C’est comme ça que le monde ressemble à un WTF géant.
#71
#72
#73
D’un autre côté, c’est de bonne guerre.
Les gens créent un système pour s’anonymiser, la NSA/FBI/CIA tente de le casser…
Je ne vois rien d’étonnant ou de choquant ici.
Ce n’est pas comme si l’état avait déclaré qu’utiliser TOR était illégal et mettait les utilisateurs en taule.
#74
#75
999 999 $.
#76
C’était le cas en france il n’y a pas si longtemps.
#77
FBI : “C’était pas 1 million, mais 999 999, 99 !” " />
#78
#79
#80
Certes, et c’est effectivement un autre débat.
J’avoue ne pas comprendre la polémique.
Le FBI essaie de se doter de moyens de contourner TOR, il ne cherche pas à faire insérer des failles qui pourraient être exploitables par de tierces personnes (comme aurait peut-être fait la NSA avec les protocoles de cryptage) mais en cherchant des failles déjà présentes.
A moins de passer à côté de quelque chose, je ne vois pas où est le problème?
Pour faire un parallèle, le FBI cherche à se doter d’outils de crochetage mais n’interdit pas aux citoyens à utiliser de serrure ni ne force les fabricants desdites serrures à leur fournir un passe partout universel…
#81
Il y a également un grand nombre de personnes qui utilisent TOR pour autre chose qu’acheter de la drogue ou charger des images pédophiles.
Après, comme le dit localhost, la définition d’illégal est à mettre dans la balance.
Un opposant du régime en Corée du Nord peut très bien utiliser TOR pour des raisons illégales dans son pays et que d’autres vont trouver parfaitement louable.
Ci-dessous une liste (en anglais, je n’ai pas le courage de la traduire " /> ) d’un Redditeur d’utilisateurs “normaux” de TOR : (source)
[Edit : la liste ne veut pas rester formatée correctement, je laisse uniquement le lien]
Ceci étant dit, comme mentionné dans mon post précédent, je ne comprends pas trop la polémique sur cette news étant donné que, à mon avis, le FBI est parfaitement dans son droit d’essayer de “casser” la protection fournie par TOR. La République Populaire de Chine ne se prive pas pour le faire…
#82
#83