L'Université Carneggie Mellon est accusée d'avoir aidé le FBI à attaquer l'anonymat offert par le réseau Tor, de janvier 2014 à juillet 2014.

Le billet est à la forme interrogative, mais l’accusation est presque affirmative. Dans un billet de blog publié mercredi, l’équipe du projet Tor pointe du doigt des chercheurs de l’Université Carnegie Mellon, soupçonnés d’avoir été payés par le FBI pour mettre à profit leurs travaux permettant d’attaquer le réseau d’anonymisation et d’obtenir la véritable adresse IP des serveurs et des utilisateurs du réseau. L’équipe avance même le chiffre de 1 million de dollars, sans apporter de preuves.

Les soupçons existaient déjà d’une coopération entre l’Université américaine et le FBI, mais ils ont été étayés cette semaine. Le faisceau d’indices devient franchement convergent, même s’il manque encore la preuve qui lèverait définitivement toute trace de doute.

Le site Motherboard a en effet publié mercredi des extraits de pièces du procès de Brian Richard ‘DoctorClu’ Farrell, l’un des membres de l’équipe de la plateforme de vente de drogues Silk Road 2.0, qui s’abritait derrière le réseau Tor pour protéger son anonymat (elle a depuis migré vers i2P). L’une des questions importantes du procès est de savoir comment le FBI est remonté jusqu’à lui. Or selon les documents cités, le réseau criminel a pu être remonté grâce des informations obtenues par un « institut de recherche basé dans une université qui opérait ses propres ordinateurs sur le même réseau anonyme que celui utilisé par Silk Road 2.0 ».

Selon un agent du FBI cité dans une pièce de procédure, une « source d’informations » a fourni des « adresses IP fiables pour TOR et des services cachés tels que [Silk Road 2.0] » pendant une période qui allait de janvier 2014 à juillet 2014. Or c’est très précisément la période qui faisait l’objet des soupçons contre Carneggie Mellon.

En effet, des chercheurs de l’Université avaient annulé en juillet 2014 leur participation le mois suivant à la conférence Black Hat de Las Vegas, dans laquelle ils promettaient d’expliquer comment dés-anonymiser Tor avec seulement 3 000 dollars de matériel informatique. L’agence Reuters avaient alors indiqué que la conférence avait été annulée à la demande de Carneggie Mellon et de son CERT (Computer Emergency Response Team), où travaillaient les chercheurs.

La fin justifie-t-elle les moyens ?

Or au même moment l’équipe de Tor avait découvert que le réseau Tor était effectivement attaqué depuis janvier 2014, et avait alors procédé aux modifications nécessaires. L’attaque était réalisée par l’intrusion de relais Tor qui modifiaient les entêtes de communication pour pouvoir suivre le trafic, et concernait potentiellement l’ensemble des sites qui utilisaient ces relais.

De son côté, The Verge rappelle que l’attaque réalisée pendant ces quelques mois en 2014 avait très certainement permis le succès de l’Operation Onymous. Selon les premières indications fournies à l’époque à la presse, l’opération policière internationale coordonnée dans 17 pays, menée notamment avec le FBI et Europol, avait permis les 5 et 6 novembre 2014 de fermer 414 sites, dont des places de marché pour de la drogue, des armes, du blanchiment d’argent ou diverses formes de contrebande ou de services illégaux (faux papier, tueurs à gage, cartes de crédit volées…). L’équivalent de 1 million de dollars en bitcoins avaient également été saisis.

Cette attaque a mis en danger des utilisateurs innocents

Le chiffre de 414 sites est toutefois contesté et pourrait ne refléter que le nombre de domaines .onion neutralisés, dont beaucoup pointaient vers les mêmes sites. Le nombre réel de sites touchés serait en fait de quelques dizaines.

Or pour fermer ces quelques dizaines de sites, effectivement illégaux et dangereux mais qui continuent d’opérer ici ou ailleurs, c’est l’ensemble du réseau Tor que le FBI et les universitaires avec lesquels ils ont collaboré ont attaqué. C’est donc la question de la proportionnalité des moyens employés qui est posée.

L’équipe de Tor considère pour sa part qu’il est « peu probable » que le FBI ait obtenu un mandat pour mettre en place une telle tactique qui n’était pas ciblée contre les sites faisant l’objet des investigations, mais avait un effet beaucoup plus large. « Une telle action viole notre confiance et les principes de base de la recherche éthique, attaque le projet Tor. Nous soutenons fortement la recherche sur nos logiciels et nos réseaux, mais cette attaque franchit la ligne cruciale entre la recherche et la mise en danger d’utilisateurs innocents ».

« Les libertés civiles sont attaquées si les autorités judiciaires croient qu’elles peuvent contourner les règles de preuves en sous-traitant le travail de police à des universités. Si le monde académique utilise la ‘recherche’ comme bélier pour violer la vie privée, toute l’entreprise de recherche en sécurité aura mauvaise réputation. (…) Si ce type d’attaque du FBI par le biais d’une université est accepté, personne n’aura de protections efficace au titre du 4ème amendement en ligne, et tout le monde est en danger ».

Le FBI n’est pas le seul à vouloir ainsi coopérer avec le monde universitaire pour faire sauter l’anonymat de Tor. Au moment-même où la faille était découverte et corrigée, la Russie annonçait son intention de financer des travaux de recherche pour casser le réseau Tor, en forte croissance en Russie. Mais l’institut qui a décroché le marché a finalement dénoncé le marché en septembre dernier, sans que l’on sache pourquoi.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo