En 2015, le FBI à réussi à faire main basse sur un réseau de pédocriminels qui utilisaient le réseau Tor pour masquer l’origine de leur connexion au site Playpen sur lesquels ils pouvaient consulter des images d’enfants violés. 1 300 dossiers ont été montés (et risquent pour une bonne part d’être annulés), grâce à une prise de contrôle du serveur du site. Il fut maintenu en ligne pendant deux semaines par le FBI, pour glaner pendant ce temps un maximum d’informations sur ceux qui s’y connectaient.
Mais comment ces informations ont-elles été obtenues, alors que l’utilisation du réseau Tor est censée masquer l’adresse IP réelle de l’internaute qui visite le site ? Mozilla craint que le FBI ait exploité une faille de sécurité dans le code source de Firefox intégré à Tor Browser, un navigateur dérivé de Firefox qui intègre une surcouche Tor pour permettre son utilisation clés-en-main, sans aucune configuration préalable.
Si une telle faille existe et qu’elle est exploitable par le FBI pour traquer des criminels, c’est qu’elle est exploitable aussi par des régimes autoritaires qui traquent les dissidents qui utilisent Tor pour ne pas être surveillés. C’est parfois une question de vie ou de mort.
C’est donc pour avoir confirmation que le FBI a bien exploité une faille dans le code source de Firefox, et pour l’obliger à dire laquelle, que Mozilla a décidé de porter un recours (.pdf) dans l’une des affaires pénales en cause.
Peser l’intérêt de divulguer la faille
« Certains ont spéculé, y compris des membres de l’équipe de la défense, que la vulnérabilité pourrait exister dans la partie du code du navigateur Firefox sur laquelle repose le navigateur Tor. À ce stade, personne (nous y compris) en dehors du gouvernement ne sait quelle vulnérabilité a été exploitée et si elle réside dans notre base de code. Le juge dans cette affaire a ordonné au gouvernement de divulguer la vulnérabilité à l’équipe de la défense, mais pas à l’une des entités qui pourraient effectivement corriger la vulnérabilité », explique Denelle Dixon-Thayer, la directrice juridique de Mozilla.
L’éditeur de logiciels libres demande donc à la justice d’ordonner au gouvernement américain qu’il lui communique l’information sur la faille exploitée, pour qu’elle puisse être corrigée au bénéfice du monde entier, quitte à refermer une possibilité d’appréhender aux États-Unis des organisations criminelles qui se servent de Tor Browser à mauvais escient.
Selon IT World, jusqu’à présent l’administration américaine a toujours refusé de confirmer qu’une faille avait été exploitée dans le code source de Firefox. Elle refuse même de dire si la faille avait fait l’objet d’un Vulnerabilities Equities Process (VEP), une procédure par laquelle les autorités évaluent les risques et bénéfices de divulguer une faille de sécurité pour qu’elle soit corrigée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !