Pour démanteler le réseau d’échanges de contenus pédopornographiques Playpen, le FBI a recouru à un logiciel exploitant des faiblesses dans Tor Browser pour pirater des machines. L’opération a permis l’arrestation de 1 500 personnes, mais la méthode laisse des questions en suspens. Le FBI cherche donc à faire classifier son outil.
L’affaire fait du bruit depuis plusieurs mois. Le démantèlement du réseau Playpen, qui opérait sur Tor, a pu se faire initialement en débusquant l’un des participants. Sa machine a été récupérée et reconvertie en « pot de miel », simulant ainsi une activité classique d’échanges de contenus, tout en récupérant des informations sur les connexions. 1 500 personnes ont été mises en examen, l’opération étant un succès.
Mais le FBI s’est servi d’un « malware » exploitant des faiblesses dans Tor Browser. Depuis, il existe une forte suspicion autour de la présence d’une faille de sécurité. Mozilla, estimant que la brèche supposée pouvait être dans Firefox – qui sert de fondation à Tor Browser – a ainsi demandé au FBI de bien vouloir révéler les détails de la vulnérabilité. Peine perdue : si la requête a été accordée dans un premier temps, elle a vite été rejetée par un deuxième juge, que le département américain de la Justice avait convaincu de l’importance cruciale du logiciel.
Tout est donc devenu une question de sécurité nationale. Ce qui pose désormais un problème pour la défense, le même en fait que dans l’affaire qui avait révélé la coopération profonde de BlackBerry avec la gendarmerie canadienne : comment prouver que les informations récupérées sont authentiques si l’outil ne peut pas être examiné ?
Classifier pour éloigner
La question se pose d’autant plus que dans une réponse remise au tribunal par les avocats du gouvernement dans l’un des procès (Gerald Andrew Darby), on peut lire : « De manière dérivée, le FBI a classifié des portions de l’outil, les exploits utilisés en relation avec l’outil, et certains des aspects opérationnels de l’outil en accord avec le Security Information Classification Guide du FBI ». En d’autres termes, une grande majorité de ce qui a été utilisé est désormais hors d’atteinte car pouvant porter atteinte à la sécurité de l’État s’il venait à être révélé.
D’après Motherboard, qui a interrogé plusieurs experts sur la question, les raisons qui poussent le gouvernement à classifier l’outil ne tiennent que peu la route. Ce type de demande doit être approuvé d’une part, mais elle doit être également motivée, en étant notamment rangée dans une classification précise de raisons. Steven Aftergood, de la Federation of American Scientists, remarque ainsi : « Laquelle de ces catégories devrait s’appliquer ? Sources de renseignement et méthodes ? Activités technologies liées à la sécurité nationale ? Vu d’ici, toutes semblent tirées par les cheveux. Il sera intéressant de voir comment le FBI défend son geste, et si le tribunal sera convaincu ».
Un besoin de protéger un investissement ?
La raison du retard, par contre, échappe aux observateurs. Mauvaise organisation, défauts techniques, les explications sont multiples. Il semble dans tous les cas que la finalité soit simplement de mettre à l’abri un outil qui pourrait être utilisé plus tard. S’il exploite une ou plusieurs failles dans Tor Browser et que ces vulnérabilités n’ont toujours pas été trouvées (ou même corrigées sans le savoir), l’outil garde donc tout son potentiel pour d’autres opérations. Sachant que le FBI a eu besoin de presque 18 mois pour réussir le coup de filet de Playpen, on comprend qu’il cherche à protéger son arme.
Cette bataille juridique montre encore une fois la valeur des vulnérabilités entre les mains des forces de l’ordre. La moindre brèche récupérée aux États-Unis passe pour rappel par un processus d’évaluation au terme duquel le département de la Défense la signale à son éditeur ou la met de côté « pour plus tard ». Il existe un marché de l’ombre pour ces failles, le FBI devenant presque un client comme les autres. Il a par exemple acheté la brèche qui lui a permis de percer les défenses d’un iPhone 5c dans l’affaire San Bernardino, au grand dam d’Apple qui n’a jamais pu en récupérer les détails.