Tor Browser : Mozilla veut savoir comment le FBI a identifié des utilisateurs

Une histoire de disclosure 78
En bref
image dediée
Crédits : stevanovicigor/iStock/Thinkstock
Navigateurs
Guénaël Pépin

La fondation Mozilla a déposé un recours devant un tribunal américain pour obtenir la faille qui aurait été utilisée pour identifier des utilisateurs de Tor Browser, qui s'appuie sur Firefox. Dans le même temps, elle a lancé un appel à candidatures pour financer des projets web open source, avec une enveloppe de 1,25 million de dollars.

Mozilla veut obtenir la faille de Firefox dont le FBI disposerait. Dans un billet de blog, la fondation explique avoir déposé un recours dans le cadre d'une affaire criminelle impliquant le bureau, au sujet d'une vulnérabilité de Tor Browser. L'affaire en question : le démantèlement en début d'année dernière de Playpen, un site d'échange de contenus pédopornographiques avec 215 000 membres inscrits, que le FBI a saisi et maintenu pendant près de deux semaines, pour piéger ses utilisateurs.

Obtenir les failles de Firefox avant les autres

Pendant cette période, les autorités ont ainsi réussi à obtenir 1 300 adresses IP d'utilisateurs de Tor Browser, dont le but est justement de la masquer. « Certains ont spéculé, y compris des membres de la défense, que la vulnérabilité existerait dans la portion du code de Firefox sur lequel s'appuie Tor Browser » affirme la fondation. Pour le moment, la cour a ordonné au FBI de fournir la faille en question à la défense, mais pas aux développeurs des outils incriminés.

Dans son recours, l'organisation demande ainsi au tribunal d'obliger le gouvernement à lui fournir la faille en question. Jusqu'ici, le FBI se serait même refusé à préciser si la vulnérabilité était connue de Mozilla ou non. La fondation veut s'assurer que si une faille de Firefox est communiquée, elle le sera d'abord à elle, et non à un tiers.

Plus généralement, Mozilla estime que les communications de faille par la justice devraient suivre les meilleures pratiques en matière de publication. En clair, l'entreprise concernée devrait recevoir prioritairement ces informations, pour régler rapidement le problème. De quoi jeter un peu plus d'huile sur le feu dans cette affaire, dans laquelle le FBI est déjà largement critiqué pour avoir distribué des images pédopornographiques pendant plus d'une semaine pour identifier les utilisateurs.

Un financement renforcé de l'open source

Sur une note plus positive, Mozilla a annoncé en parallèle étendre son programme de financement des technologies web open source. Le Mozilla Open Source Support (MOSS) s'ouvre ainsi à tous les projets. Il était jusqu'ici réservé à ceux sur lesquels les produits de la fondation s'appuyaient directement, dans sa première édition lancée en octobre.

Cette seconde ligne de financement « est ouverte à tout projet open source qui entreprend une activité qui fait avancer les missions de Mozilla de manière significative », affirme la fondation. Elle précise d'ailleurs qu'un projet n'a pas besoin d'être lié à elle ou en anglais pour obtenir un financement. Pour cette année, l'organisation a réservé une enveloppe de 1,25 million d'euros. Les candidatures peuvent être déposées jusqu'au 31 mai. Après cette date, toute proposition sera étudiée en continu, et non dans ce premier lot.

Les premiers sélectionnés seront désignés au mois de juin. Sur son wiki, l'organisation indique déjà préparer une troisième étape, dédiée cette fois aux projets open source « sûrs », l'une des principales préoccupations du moment, y compris du côté de Mozilla.


chargement
Chargement des commentaires...