Pour tenter de démanteler une filière d'utilisateurs de sites pédophiles accessibles uniquement par Tor, le FBI a hacké les serveurs d'un intermédiaire qui louait ses serveurs en France, afin d'y implanter un spyware.

Le magazine Wired rapporte que le FBI a reconnu la semaine dernière être à l'origine de la diffusion en juillet dernier d'un spyware intégré sur des pages web destinées au réseau d'anonymisation Tor (avec des URL en .onion), qui étaient hébergées par le prestataire Freedom Hosting. Celui-ci, dénoncé dès 2011 par des activistes du mouvement Anonymous pour l'hébergement massif de contenus pédopornographiques accessibles avec Tor, aurait eu ses serveurs en France.

Lui-même domicilé en Irlande, "l'administrateur de Freedom Hosting, Eric Eoin Marques, avait loué ses serveurs chez un fournisseur d'hébergement commercial non nommé en France, et les payait à partir d'un compte bancaire à Las Vegas", raconte Wired. Le très sérieux magazine américain indique ne pas avoir d'informations sur la façon dont le FBI a mis la main sur les serveurs. On ne sait si les autorités françaises ont été amenées à collaborer, ou si les serveurs ont été hackés à distance, au risque d'être alors d'être dans l'illégalité au regard des lois françaises.

Le FBI "a été contrecarré temporairement lorsque Marques a regagné l'accès (à ses serveurs) et a changé les mots de passe, bloquant brièvement le FBI avant qu'il regagne le contrôle", précise uniquement Wired.

Le 4 août dernier, tous les sites hébergés par Freedom Hosting avaient affiché le même message d'erreur, en renvoyant aux navigateurs une page web en apparence anodine, dans laquelle était en fait intégré un bout de code mystérieux appelé par une iframe. Des chercheurs en sécurité avaient alors disséqué le code, et découvert qu'il exploitait une ancienne faille de sécurité de Firefox, encore présente dans la version intégrée à l'époque au Tor Browser Bundle (une version de Firefox préconfigurée pour utiliser Tor). 

L'exploitation de cette faille permettait de lancer localement un exécutable Windows dissimulé sous une variable baptisée "Magneto", qui avait pour unique fonction de capturer l'adresse MAC de l'interface réseau utilisée par le visiteur du site, son nom d'ordinateur sous Windows, et d'envoyer le tout vers un serveur localisé en Virginie à travers une requête HTTP directe, permettant de connaître l'adresse IP réelle de l'utilisateur. Un mode de fonctionnement typique du CIPAV (Computer and Internet Protocol Address Verifier) utilisé depuis 2002 par le FBI pour obtenir des informations sur les auteurs ou complices de délits divers et variés.

Parmi les sites "contaminés" par l'exécutable Magneto figurait TorMail, un service d'anonymisation des e-mails.

Partager sur les réseaux sociaux

Articles liés