Mozilla s'est joint à la défense dans une affaire criminelle aux États-Unis, pour savoir si l'accusé qui utilisait Tor avait été identifié grâce à l'exploitation d'une faille de sécurité dans le code source de Firefox, implémenté dans le navigateur Tor Browser.

En 2015, le FBI à réussi à faire main basse sur un réseau de pédocriminels qui utilisaient le réseau Tor pour masquer l’origine de leur connexion au site Playpen sur lesquels ils pouvaient consulter des images d’enfants violés. 1 300 dossiers ont été montés (et risquent pour une bonne part d’être annulés), grâce à une prise de contrôle du serveur du site. Il fut maintenu en ligne pendant deux semaines par le FBI, pour glaner pendant ce temps un maximum d’informations sur ceux qui s’y connectaient.

Mais comment ces informations ont-elles été obtenues, alors que l’utilisation du réseau Tor est censée masquer l’adresse IP réelle de l’internaute qui visite le site ? Mozilla craint que le FBI ait exploité une faille de sécurité dans le code source de Firefox intégré à Tor Browser, un navigateur dérivé de Firefox qui intègre une surcouche Tor pour permettre son utilisation clés-en-main, sans aucune configuration préalable.

Si une telle faille existe et qu’elle est exploitable par le FBI pour traquer des criminels, c’est qu’elle est exploitable aussi par des régimes autoritaires qui traquent les dissidents qui utilisent Tor pour ne pas être surveillés. C’est parfois une question de vie ou de mort.

Tor-browser2
Le navigateur Tor Browser, se connectant au réseau Tor.

C’est donc pour avoir confirmation que le FBI a bien exploité une faille dans le code source de Firefox, et pour l’obliger à dire laquelle, que Mozilla a décidé de porter un recours (.pdf) dans l’une des affaires pénales en cause.

Peser l’intérêt de divulguer la faille

« Certains ont spéculé, y compris des membres de l’équipe de la défense, que la vulnérabilité pourrait exister dans la partie du code du navigateur Firefox sur laquelle repose le navigateur Tor. À ce stade, personne (nous y compris) en dehors du gouvernement ne sait quelle vulnérabilité a été exploitée et si elle réside dans notre base de code. Le juge dans cette affaire a ordonné au gouvernement de divulguer la vulnérabilité à l’équipe de la défense, mais pas à l’une des entités qui pourraient effectivement corriger la vulnérabilité », explique Denelle Dixon-Thayer, la directrice juridique de Mozilla.

L’éditeur de logiciels libres demande donc à la justice d’ordonner au gouvernement américain qu’il lui communique l’information sur la faille exploitée, pour qu’elle puisse être corrigée au bénéfice du monde entier, quitte à refermer une possibilité d’appréhender aux États-Unis des organisations criminelles qui se servent de Tor Browser à mauvais escient.

Selon IT World, jusqu’à présent l’administration américaine a toujours refusé de confirmer qu’une faille avait été exploitée dans le code source de Firefox. Elle refuse même de dire si la faille avait fait l’objet d’un Vulnerabilities Equities Process (VEP), une procédure par laquelle les autorités évaluent les risques et bénéfices de divulguer une faille de sécurité pour qu’elle soit corrigée.

Partager sur les réseaux sociaux

Articles liés