Pédopornographie : le FBI s'est bien introduit dans le réseau Tor

Une faille dans Firefox, un malware et un serveur de contrôle 299
Vincent Hermann

C’est à travers une procédure judiciaire dans laquelle est impliquée le FBI que l’on sait désormais que le bureau américain a bien contrôlé, pendant un temps au moins, un serveur du réseau Tor. Les doutes étaient nombreux à ce sujet et cette confirmation n’est pas une surprise : les utilisateurs de ce réseau décentralisé sauront désormais que des enquêtes peuvent y être menées.

tor onion router

Crédits : brendangates, licence Creative Commons

Tor, le réseau décentralisé 

Tor est un réseau décentralisé de routeurs connu pour octroyer un certain niveau d’anonymat dans les transmissions. Organisé en couches successives, il rappelle la structure d’un oignon, d’où son nom : The Onion Router. Récompensé en 2010 par le prix du logiciel libre, il est souvent nommé comme un moyen efficace d’échapper à la pression de la surveillance ambiante, dans le milieu journalistique notamment quand il s’agit de communiquer des informations sensibles, ou pour échanger simplement dans un pays comme la Chine.

Dans le réseau Tor, il n’existe pas à proprement parler de serveur centralisé. Chaque machine connectée au réseau en devient un nœud, agrandissant le maillage global. Les informations émises sous forme chiffrée « rebondissent » de nœud en nœud pour empêcher autant que possible les analyses du trafic.

L’un des aspects de Tor les plus importants réside sans conteste dans les services cachés : il s’agit de services « classiques » auxquels on accède depuis un navigateur web, mais qui permettent de masquer de nombreuses informations. Par exemple, on ne peut pas connaître en théorie qui héberge ledit service, ou qui en est à la source. Difficile également de savoir qui consulte ces services, notamment via l’adresse IP, qui n’est pas accessible, ni la position géographique.

La pédopornographie sous le parapluie de l'anonymat 

Or, c’est justement pour ces services cachés que le FBI a enquêté, dans le cadre d’une procédure judiciaire à l’encontre d’Eric Eoin Marques. Portant la double nationalité irlandaise et américaine, l’homme est accusé de trafic de contenus pédopornographiques. Pour réaliser des échanges avec d’autres personnes, il utilisait justement les services cachés : il était le dirigeant de Freedom Hosting, une société proposant justement ce type de produits.

Le bureau fédéral américain s’est penché sur Freedom Hosting car il suspectait depuis longtemps son implication dans les activités pédopornographiques. Le mois dernier, nos confrères d’Ars Technica s’étaient fait l’écho d’une attaque contre le fournisseur de services, en passant par une vulnérabilité du navigateur Firefox, corrigée depuis. Cette brèche était contenue dans la version 17 ESR, disposant d’un support allongé, et constituant la base du Tor Browser.

Analysée par des chercheurs, cette attaque envoyait des données à un serveur situé en Virginie et s’appuyait sur un malware visiblement conçu à partir de techniques professionnelles. Le FBI était alors suspecté d’en être à l’origine, à cause de la sophistication du malware et de l’emplacement de son académie, justement en Virginie (à Quantico).

Un malware pour prendre le contrôle de plusieurs serveurs 

Mais c’est dans le journal irlandais RTE News que l’on apprend la confirmation : selon un agent du FBI, Brooke Donahue, les enquêteurs ont bien pris le contrôle des serveurs de Freedom Hosting. L’opération s’est déroulée en juillet et le contrôle a été maintenu pendant un temps. Mais quelques jours avant son arrestation, Eric Eoin Marques est parvenu à reprendre la main, en changeant les mots de passe dans la foulée.

On apprend en outre qu’Eric Eoin Marques a loué initialement les serveurs à une société française qui n’a pas été nommée. Et lesdits serveurs ont une longue histoire à problèmes. En 2011 par exemple, la mouvance Anonymous s’était attaquée à Freedom Hosting : indiquant à l’époque que le fournisseur hébergeait à lui seul 95 % du contenu pédopornographique. Brooke Donahue a précisé pour sa part au procureur irlandais de la république, Patrick McGrath, que Freedom Hosting hébergeait plus d’une centaine de sites pédopornographiques, représentant ainsi plusieurs milliers d’utilisateurs. Marques en aurait d’ailleurs visité lui-même plusieurs.

Eric Eoin Marques fait actuellement l’objet d’une demande d’extradition des États-Unis depuis l’Irlande où il est en détention provisoire. Les charges qui pèsent contre lui concernent toutes la pédopornographie et sont enregistrées dans un tribunal fédéral du Maryland, où se trouvent les bureaux d’une cellule spécifique du FBI pour la protection de l’enfance.

Quant au FBI lui-même, Wired rappelle que l’attaque menée contre les serveurs de Freedom Hosting est « typique » de la solution créée par le bureau et nommée CIPAV, pour « computer and internet protocol address verifier ». Ce malware, associé à un serveur command-and-control, est utilisé selon nos confrères depuis 2002 pour des enquêtes sur les prédateurs sexuels, les extorsions de fonds ou encore les hackers.

Mais il aura fallu attendre la fin de l’été 2013 pour confirmer que le FBI avait bien la capacité de s’introduire dans le réseau Tor pour y trouver les informations qu’il cherchait dans le cadre d’une enquête. Rien n’indique toutefois que les enquêteurs y fassent de la surveillance proactive en dehors de toute procédure légale.


chargement
Chargement des commentaires...