L’université américaine Carnegie Mellon a bien été impliquée dans la recherche d’adresses IP appartenant à des utilisateurs du réseau Tor. Les accusations de ce dernier n’étaient ce pendant qu’en partie vraies. Explications.
Chronologie d’une polémique
Tout commence en novembre dernier, quand le Tor publie un communiqué au ton tranché. L’équipe accuse l’université Carnegie Mellon (CMU) d’avoir été payée un million de dollars par le FBI pour percer ses défenses et dévoiler des adresses IP d’utilisateurs.
Des zones d’ombre apparaissaient clairement dans les faits relatés, mais un point semblait clair : une université américaine avait bien aidé l’agence fédérale. Le site Motherboard avait notamment publié des documents montrant comment l’enquête sur Brian Richard Farrell, alias DoctorClu du réseau Silk Road 2.0 (vente d’armes, de drogues…) avait avancé grâce au concours d’un tel établissement. La suite des évènements n’avait fait qu’augmenter les suspicions.
Toujours selon les documents obtenus par nos confrères, l’attaque contre Tor avait été menée de janvier à juillet 2014, juste après l’arrivée de Silk Road 2.0. Or, point troublant, Tor avait justement informé ses utilisateurs à l’époque que certains relais tentaient de soutirer la véritable identité de ceux qui transitaient par là. Autre élément troublant, deux chercheurs de Carnegie Mellon annulaient une semaine plus tard une présentation qu’ils devaient faire sur Tor lors de la conférence Black Hat, sans explications.
Roger Dingledine, responsable du développement de Tor, ne doutait pas que l’université ayant aidé le FBI était bien Carnegie Mellon. D’autant que les réactions de l’établissement puis de l’agence ont été considérées comme particulièrement « molles ». Le FBI avait ainsi indiqué : « Les allégations selon lesquelles nous aurions payé la CMU un million de dollars pour pirater Tor sont incorrectes ». Mais où se situait le problème, dans la demande, la somme ou dans les deux ?
Carnegie Mellon a bien aidé le FBI
La solution de l’énigme est finalement venue du juge en charge de l’affaire Farrell, Richard Jones. Dans un document du tribunal daté de mardi : « Le rapport démontre que l’adresse IP du défendeur a été identifiée par le Software Engineering Institute (SEI) de l’université Carnegie Mellon (CPU), quand le SEI conduisait des recherches sur le réseau Tor, financées par le Département de la justice ».
Ce Software Engineering Institute est une division de l’université. Il s’agit d’un centre de recherche et de développement financé par des sources fédérales (statut FFRDC), le seul créé (selon l’établissement) pour se concentrer sur la sécurité logicielle et les problèmes d’ingénierie qui l’entoure. L’une de ses missions est effectivement de référencer les failles de sécurité découvertes. Selon la CMU, il arrive qu’un mandat issu d’un tribunal réclame des informations sur ces travaux de recherche. Le lien se situe donc ici.
Comment en est-on arrivé à une accusation du FBI et d’une somme d’un million de dollars ? En fait, l’université a annoncé l’été dernier que le SEI renouvelait son contrat avec le Département de la justice, relançant l’institut sur des travaux pour les cinq prochaines années. Valeur du marché : pas moins de 1,73 milliard de dollars. Le FBI est donc simplement passé par un tribunal pour obtenir un mandat et puis les informations qui lui ont servi à repérer Farrell.
Tor n’en démord pas : le réseau a été attaqué
Dans un communiqué publié hier, l’équipe en charge du projet Tor a réagi à ces nouvelles informations, pressée par différentes demandes de la presse. Elle prend en compte les faits dévoilés par les documents du tribunal, mais se dit « consternée » parce qu’elle a pu y lire.
Selon le billet de blog, le tribunal n’a en fait aucune idée de la manière dont le réseau fonctionne. En conséquence, il ne se rend pas compte que les informations obtenues par le SEI de Carnegie Mellon ne l’ont pas été dans le cadre d’une simple collecte : il ne suffisait pas de se baisser pour ramasser.
L’équipe précise : « La séparation entre l’identité et le routage est la clé pour expliquer pourquoi le tribunal a besoin de considérer la manière dont les attaquants ont obtenu l’adresse IP de cette personne. Le problème n’est pas simplement qu’ils ont collecté cette adresse. Le problème est qu’ils ont manifestement intercepté et faussé le trafic de l’utilisateur ailleurs dans le réseau, à un point où il n’identifie pas l’utilisateur. Ils avaient besoin d’attaquer les deux endroits afin de lier l’utilisateur à sa destination. »
De la différence entre trouver et exploiter une faille de sécurité
Et de faire le lien avec la campagne menée il y a deux ans, avec les risques de sécurité qui en ont découlé : « Le réseau Tor est sécurisé et n’a que rarement été compromis. Le SEI de l’université Carnegie Mellon a compromis le trafic au début de 2014 en exploitant des relais et en trafiquant les données ». Il ne fait aucun doute selon l’équipe de développement que le travail du SEI a également consisté à se servir d’une vulnérabilité, ce qu’elle condamne fermement.
À la lueur de ces nouveaux éléments, on comprend mieux désormais les réactions du FBI et de l’université. On ne sait pas cependant d’où Roger Dingledine tirait réellement l’information sur le million de dollars versé par l’agence à Carnegie Mellon, ce point n’étant abordé nulle part.
Dans ce contexte toutefois, le catalogage et l’utilisation des failles de sécurité sont à rapprocher de ce que l’on a appris des activités de la NSA depuis les premières publications des documents dérobés par Edward Snowden. Les développeurs de Tor espèrent en tout cas que le tribunal considèrera ce point.
