L’université américaine Carnegie Mellon a bien été impliquée dans la recherche d’adresses IP appartenant à des utilisateurs du réseau Tor. Les accusations de ce dernier n’étaient ce pendant qu’en partie vraies. Explications.
Chronologie d’une polémique
Tout commence en novembre dernier, quand le Tor publie un communiqué au ton tranché. L’équipe accuse l’université Carnegie Mellon (CMU) d’avoir été payée un million de dollars par le FBI pour percer ses défenses et dévoiler des adresses IP d’utilisateurs.
Des zones d’ombre apparaissaient clairement dans les faits relatés, mais un point semblait clair : une université américaine avait bien aidé l’agence fédérale. Le site Motherboard avait notamment publié des documents montrant comment l’enquête sur Brian Richard Farrell, alias DoctorClu du réseau Silk Road 2.0 (vente d’armes, de drogues…) avait avancé grâce au concours d’un tel établissement. La suite des évènements n’avait fait qu’augmenter les suspicions.
Toujours selon les documents obtenus par nos confrères, l’attaque contre Tor avait été menée de janvier à juillet 2014, juste après l’arrivée de Silk Road 2.0. Or, point troublant, Tor avait justement informé ses utilisateurs à l’époque que certains relais tentaient de soutirer la véritable identité de ceux qui transitaient par là. Autre élément troublant, deux chercheurs de Carnegie Mellon annulaient une semaine plus tard une présentation qu’ils devaient faire sur Tor lors de la conférence Black Hat, sans explications.
Roger Dingledine, responsable du développement de Tor, ne doutait pas que l’université ayant aidé le FBI était bien Carnegie Mellon. D’autant que les réactions de l’établissement puis de l’agence ont été considérées comme particulièrement « molles ». Le FBI avait ainsi indiqué : « Les allégations selon lesquelles nous aurions payé la CMU un million de dollars pour pirater Tor sont incorrectes ». Mais où se situait le problème, dans la demande, la somme ou dans les deux ?
Carnegie Mellon a bien aidé le FBI
La solution de l’énigme est finalement venue du juge en charge de l’affaire Farrell, Richard Jones. Dans un document du tribunal daté de mardi : « Le rapport démontre que l’adresse IP du défendeur a été identifiée par le Software Engineering Institute (SEI) de l’université Carnegie Mellon (CPU), quand le SEI conduisait des recherches sur le réseau Tor, financées par le Département de la justice ».
Ce Software Engineering Institute est une division de l’université. Il s’agit d’un centre de recherche et de développement financé par des sources fédérales (statut FFRDC), le seul créé (selon l’établissement) pour se concentrer sur la sécurité logicielle et les problèmes d’ingénierie qui l’entoure. L’une de ses missions est effectivement de référencer les failles de sécurité découvertes. Selon la CMU, il arrive qu’un mandat issu d’un tribunal réclame des informations sur ces travaux de recherche. Le lien se situe donc ici.
Comment en est-on arrivé à une accusation du FBI et d’une somme d’un million de dollars ? En fait, l’université a annoncé l’été dernier que le SEI renouvelait son contrat avec le Département de la justice, relançant l’institut sur des travaux pour les cinq prochaines années. Valeur du marché : pas moins de 1,73 milliard de dollars. Le FBI est donc simplement passé par un tribunal pour obtenir un mandat et puis les informations qui lui ont servi à repérer Farrell.
Tor n’en démord pas : le réseau a été attaqué
Dans un communiqué publié hier, l’équipe en charge du projet Tor a réagi à ces nouvelles informations, pressée par différentes demandes de la presse. Elle prend en compte les faits dévoilés par les documents du tribunal, mais se dit « consternée » parce qu’elle a pu y lire.
Selon le billet de blog, le tribunal n’a en fait aucune idée de la manière dont le réseau fonctionne. En conséquence, il ne se rend pas compte que les informations obtenues par le SEI de Carnegie Mellon ne l’ont pas été dans le cadre d’une simple collecte : il ne suffisait pas de se baisser pour ramasser.
L’équipe précise : « La séparation entre l’identité et le routage est la clé pour expliquer pourquoi le tribunal a besoin de considérer la manière dont les attaquants ont obtenu l’adresse IP de cette personne. Le problème n’est pas simplement qu’ils ont collecté cette adresse. Le problème est qu’ils ont manifestement intercepté et faussé le trafic de l’utilisateur ailleurs dans le réseau, à un point où il n’identifie pas l’utilisateur. Ils avaient besoin d’attaquer les deux endroits afin de lier l’utilisateur à sa destination. »
De la différence entre trouver et exploiter une faille de sécurité
Et de faire le lien avec la campagne menée il y a deux ans, avec les risques de sécurité qui en ont découlé : « Le réseau Tor est sécurisé et n’a que rarement été compromis. Le SEI de l’université Carnegie Mellon a compromis le trafic au début de 2014 en exploitant des relais et en trafiquant les données ». Il ne fait aucun doute selon l’équipe de développement que le travail du SEI a également consisté à se servir d’une vulnérabilité, ce qu’elle condamne fermement.
À la lueur de ces nouveaux éléments, on comprend mieux désormais les réactions du FBI et de l’université. On ne sait pas cependant d’où Roger Dingledine tirait réellement l’information sur le million de dollars versé par l’agence à Carnegie Mellon, ce point n’étant abordé nulle part.
Dans ce contexte toutefois, le catalogage et l’utilisation des failles de sécurité sont à rapprocher de ce que l’on a appris des activités de la NSA depuis les premières publications des documents dérobés par Edward Snowden. Les développeurs de Tor espèrent en tout cas que le tribunal considèrera ce point.
Commentaires (34)
#1
et l’université de Carnegie Mellon ne peut rien faire pour l’iphone du FBI ?
" />
#2
#3
#4
Je suis épaté que les membre de cette université ne se soient pas fait mousser en demandant finances pour laisser filtrer des infos. Yen a donc pas un qui ait pris le Mellon?
#5
Non, il y a juste des gens qui sont embauché par l’état qui ne tienne absolument pas a se mettre à dos le FBI et l’état…
En france on peut se faire virer (voir cas récent) si on l’ouvre trop en tant que fonctionnaire
#6
ça s’appel “le devoir de réserve”™ ^_^
#7
Si même Tor n’est pas sûr. Entre les serveurs pédophiles du FBI et pirater une partie du réseau grâce à une université. On sent que le FBI n’a plus de limites. En France,on est ridicule avec mes boîtes noires installés chez les hébergeurs
#8
#9
le SEI conduisait des recherches sur le réseau Tor, financées par le Département de la justice
Et oui, car le DoJ est tellement riche qu’il sponsorise les projets de recherche… notamment daans le but humaniste d’améliorer la sécurité informatique du réseau Tor. Et pas du tout pour contourner les protections de l’anonymat. Promis.
#10
Le projet Tor est lui même financé depuis toujours par le DoD (l’armée américaine).
#11
“The DoJ is responsible for the enforcement of the law and administration of justice in the United States”
Quel rapport entre la Justice (avec un grand J) et le réseau Tor ?
#12
Je ne sais pas, mais ce n’est pas la première fois que les US investissent dans Tor, parfois pour le développer, parfois pour le casser.
Pour le DoJ ça semble logique qu’ils investissent pour rester pertinent et pouvoir continuer à investiguer dans les prochaines décénies.
#13
#14
<i>mais se dit « consternée » parce qu’elle a pu y lire</i>
par ce qu’elle a pu y lire
#15
Tu vois le petit icône en forme de triangle d’avertissement à droite du logo en haut de la page ? Sers-t’en la prochaine fois
" />
#16
C’est exactement dans la lignée de ce qu’ils veulent pour le chiffrement chez Apple:
une protection à toute épreuve, sauf… la porte dérobée pour eux.
#17
Je dois être neuneu je trouve pas le bouton pour signaler ces coquilles. Une petite capture d’écran? SVP
#18
#19
Voili voilou
" />
http://www.tiikoni.com/tis/view/?id=402be4f
#20
et personne ne se demande ce qu’est devenu Melèche?
" />
#21
YES!
En fait cette icone n’apparait plus quand on scrolle tout en haut de la page.
Merci.
#22
#23
#24
#25
J’espère que silk road 3.0 sera plus pérenne 
" />
#26
Bah si c’était un citoyen lambda j’aurai trouvé ça scandaleux mais un trafiquant d’armes et de drogues… j’ai plutôt tendance à laisser couler. Néanmoins je comprends bien qu’une faille pour un cas peut très bien être utilisé pour d’autres moins… altruiste.
#27
#28
Euh, des chercheurs en sécurité peuvent rechercher des failles, mais ils sont sensés prévenir l’éditeur de la faille, pas l’exploiter.
#29
#30
Non justement, tu as lu la deuxième partie de mon message?
Et je ne raisonne pas non plus comme toi, ce problème est extrêmement complexe, on ne peut pas regarder qu’une seule facette de la médaille et s’insurger quand d’autres regardes les deux côtés.
#31
Je pense avoir compris ce que j’ai dit et je ne nie pas qu’un tel reseau est utilisé à des fin mafieuses.
Ce que je dis surtout, c’est que l’excuse pour un type d’élément (la mafia) permet de donner une raison valable pour utiliser les failles d’un reseau pour les arrêter. Or on sais tres bien que ca n’en restera pas là.
Idem pour la surveillance généralisée en France et la non utilisation de la justice pour arriver à ses fins.
D’abord c’est pour les pedophile, Apres le terrorisme, ensuite l’anorexie….. Et à la fin la liberté des individus.
Mais bon avec ce raisonnement la, pourquoi on interdit pas les cartes bancaires et les virements internationaux ? Apres tout les mafias s’en servent largement. (Pas que des valises bourré de fric, ca c’est juste le film ^^ )
Apres tout c’est une mauvaise facette des transactions internationales mais ça ne gêne personne.
Idem pour Thor. :)
#32
Justement on ne les interdit pas, on développe des solutions pour empêcher ce type d’activité, on ne fait pas semblant que ça n’existe pas.
J’ai bien compris ton message, mais faut arrêter de se planquer derrière les arguments du types “C’est blanc faut pas toucher, c’est noir faut enlever”, y’a du gris partout.
#33
#34
Je voulais juste insister sur une chose, voir le problème dans sa globalité, ton dernier message met bien ça en évidence, je te remercie.