Developpez.com

Le Club des Développeurs et IT Pro

Le FBI conteste une décision de justice lui demandant de dévoiler le code source d'une faille de Tor

Exploitée pour traquer un suspect

Le 2016-04-05 11:13:46, par Victor Vincent, Expert éminent sénior
En juillet 2015, un administrateur scolaire de Vancouver à Washington a été au centre d’une affaire pénale dans laquelle il a été arrêté suite à des accusations de téléchargement de pornographie juvénile. L’administrateur nommé Jay Michaud aurait visionné 187 éléments sur des forums relatifs à la pornographie juvénile, caché derrière le web obscur avant de se faire prendre par le FBI qui suivait le site qui héberge le forum pendant plus de deux semaines.

Ces investigations du FBI ont été rendues possibles grâce à la loi lui permettant d’utiliser la technique d’investigation des réseaux, un outil de piratage mis à la disposition de l’agence fédérale pour traquer les visionneurs de pédopornographie et autres criminels du genre qui commettent leurs forfaits en cachant leur véritable adresse IP ainsi que leur identité. Cependant, la cour a rendu une décision qui demande au FBI de révéler le code source défaillant de Tor qui lui a permis de débusquer la vraie adresse IP du suspect. En effet, le juge Robert J Bryan estime qu’il est pertinent de poser la question de savoir exactement comment le FBI a fait pour traquer les suspects cachés derrière le réseau obscur de Tor. D’après un agent spécial de l’agence fédérale américaine, la défense réclame le droit d’accéder à la faille utilisée par le gouvernement contre Tor pour s’assurer qu’aucune autre fonction complémentaire n’a été utilisée par le FBI en dehors de celles permises par la loi.

Le FBI, quant à lui, rétorque en disant que révéler la faille de Tor qui a été exploitée pour contourner les protections offertes par Tor et atteindre les suspects n’est pas nécessaire dans ce cas précis pour la défense et leur client. La défense a d’ailleurs reçu une partie du code utilisé dans le cadre de la procédure d’investigation des réseaux utilisée par l’agence fédérale sans la partie relative à la faille exploitée par le FBI et qui a permis d’identifier le suspect dans le cadre de cette enquête. Le spécialiste engagé par la défense pour analyser le code source utilisé dans le cadre de la procédure suspecte le FBI d’avoir utilisé un code spécifique, différent de celui utilisé d’habitude dans le cadre de procédures d’investigation des réseaux. Le FBI réfute en bloc les allégations de l’expert et répond que même si le gouvernement donnait accès à la partie du code en question, cela ne permettrait pas à la défense de déterminer ce que le code a exécuté comme instructions sur l’ordinateur du suspect, cela permettrait simplement de savoir comment l’accès à la machine incriminée s’est opéré.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Le gouvernement américain aurait payé des chercheurs pour compromettre le réseau Tor, d'après un juge fédéral de Washington
  Discussion forum
20 commentaires
  • tchize_
    Expert éminent sénior
    Le plus drôle c'est que si le bout de code permet de prouver une faille permettant une exécution de code à distance sur la machine pour la piéger, la défense pourra arguer qu'un tiers a pu prendre le controle de la machine et faire les téléchargements
    le 05/04/2016 à 18:28
  • Traroth2
    Membre émérite
    Il faut reconnaitre que la manière de faire du FBI défie la notion même de preuve. En gros, le FBI déclare que ce type est coupable, et il n'y a plus qu'à le croire. Je ne cherche pas à défendre un pédophile, mais c'est quand même troublant. L'étape judiciaire devient assez inutile, en gros...
    le 05/04/2016 à 16:21
  • sevyc64
    Modérateur
    Envoyé par IP_Steph
    Si le FBI botte en touche, c'est peut-être qu'ils ont utilisé une vulnérabilité pas encore connue (rappelez-vous la NSA qui a exploité une vulnérabilité SSL bien avant qu'elle ne soit annoncée).
    Peut-être. Ou alors ils ont peut-être aussi utiliser, à moment donné, des techniques pas vraiment autorisées, voire carrément illégales. Peut-être ont-ils monté un honeypot en diffusant des images pédophiles pour attirer le chaland, et ce n'est peut-être pas autorisé.
    Il y a déjà eu une affaire comme ça, toujours sur TOR ou ils (le FBI, la NSA, ou je ne sais plus quel service) ont intercepté et se sont approprier un site illégal, mais l'ont maintenu en ligne plusieurs semaines pour tenter de ratisser un peu plus large. Hors, si leurs prérogatives leur permettaient de s'auto-attribuer le site, elles ne leur permettaient pas de le laisser en ligne (en tout cas dans le sens ou ils l'ont fait). En le faisant, ils se sont rendu complices de l'illégalité. Ils ont étouffés l'affaire en abandonnant toutes les charges preuves et autres qu'ils avaient ainsi pu récolter.

    Envoyé par hotcryx
    Est-ce que le FBI se serait connecté aux proxys TOR et les aurait piraté?
    Afin d'avoir plus facile pour remonter aux clients.
    Ce n'est un secret pour personne s'intéressant un peu à ce réseau, le FBI, la NSA, et très certainement divers autres services de renseignement du monde entier possèdent des nœuds actifs sur ce réseau. Et on peut supposer que ces nœuds ne sont pas tout à fait neutre.
    Les nœuds de sortie sont par exemple très intéressant car, eux, voient passer le trafic en clair. Et si la transmission est cryptée, les données transportées, échangées entre le client et le serveur peuvent contenir des informations mettant à mal l'anonymat
    Ne pas oublier que ce réseau a été créer à l'origine en parallèle par 2 entités de l'armée américaine qui y contribuent encore. Le FBI lui-même est un gros contributeur au maintien et à l'évolution de ce réseau (tout comme, aussi surprenant que ça puisse paraitre, Microsoft est un gros contributeur à la sphère Linux et ce depuis plusieurs décennies).

    Envoyé par Traroth2
    Il faut reconnaitre que la manière de faire du FBI défie la notion même de preuve. En gros, le FBI déclare que ce type est coupable, et il n'y a plus qu'à le croire. Je ne cherche pas à défendre un pédophile, mais c'est quand même troublant. L'étape judiciaire devient assez inutile, en gros...
    Le problème ici n'est pas l’existence de preuves. Les preuves existent et sont réelles et prouvent la culpabilité du type.
    La question qui est posée, c'est comment ces preuves là ont été obtenues, parce que si elles ont été obtenues illégalement, elles ne sont plus recevables et le dossier à charge peut s'en trouver sérieusement amoindris.
    le 05/04/2016 à 20:46
  • mrqs2crbs
    Membre averti
    Et le coupable est
    ....roulement de tambour
    ....petite fumée blanche
    ....TADAM!!!

    Alors quoi, puisqu'on vous dit que c'est lui!

    c'est génial!
    le 05/04/2016 à 15:27
  • fbi matter
    Membre à l'essai
    Bientôt on ira en prison sans savoir comment ni pourquoi
    le 05/04/2016 à 21:56
  • The-Most-Wanted
    Membre régulier
    Envoyé par Traroth2
    Il faut reconnaitre que la manière de faire du FBI défie la notion même de preuve. En gros, le FBI déclare que ce type est coupable, et il n'y a plus qu'à le croire. Je ne cherche pas à défendre un pédophile, mais c'est quand même troublant. L'étape judiciaire devient assez inutile, en gros...
    Plein dans le mille
    le 05/04/2016 à 17:55
  • Envoyé par sevyc64
    Peut-être. Ou alors ils ont peut-être aussi utiliser, à moment donné, des techniques pas vraiment autorisées, voire carrément illégales. Peut-être ont-ils monté un honeypot en diffusant des images pédophiles pour attirer le chaland, et ce n'est peut-être pas autorisé.
    C'est permis aux US, les forces de l'ordre ont la liberté de tout mettre en oeuvre pour provoquer le flagrant délit.
    ils peuvent ainsi réutiliser des kilos de coke saisis pour faire des transactions avec de gros revendeurs
    Donc, effectivement, je ne serais pas étonné que le pédo se soit fait phisher...

    Envoyé par sevyc64
    Les nœuds de sortie sont par exemple très intéressant car, eux, voient passer le trafic en clair.
    Faux.

    Si tu accèdes à un site qui supporte l'encryption depuis un client Tor (inutile de parler des béotiens qui utilisent Tor pour accéder à des sites http ), le trafic entre noeud de sortie et la cible est toujours chiffré.

    La problématique autour du noeud de sortie est la suivante : quelqu'un qui écoute le trafic sortant du noeud connait les IP source et destination du flux puisque c'est le noeud de sortie qui effectue la dernière décapsulation. En d'autres termes, le trafic visible entre le noeud de sortie et la cible est la copie du trafic qui serait vu entre le client Tor et le noeud d'entrée.

    Envoyé par sevyc64
    Ce n'est un secret pour personne s'intéressant un peu à ce réseau, le FBI, la NSA, et très certainement divers autres services de renseignement du monde entier possèdent des nœuds actifs sur ce réseau. Et on peut supposer que ces nœuds ne sont pas tout à fait neutre.
    Beaucoup d'organisations déploient des relays dans le but de cracker Tor. Mais plus il y a de relays Tor, plus il y a de fluctuations dans la construction des circuits parce que par défaut, l'ageing time d'un circuit Tor est de 10 mn (c'est modifiable au travers du paramètre NewCircuitPeriod). C'est d'ailleurs la cause première des "problèmes de performances" de Tor (j'ai mis entre guillemets, parce que généralement, les utilisateurs de Tor n'ont que faire de la performance).

    Au final, il y a une perpétuelle partie de cache-cache entre la communauté Tor et toutes ces organisations...

    Steph
    le 06/04/2016 à 10:19
  • Jonyjack
    Membre averti
    Envoyé par halaster08
    Si la faille devient publique qui sait ce des hackers mal intentionné pourraient en faire ...
    Les hackers mal intentionnés ne vont pas attendre le FBI pour trouver des failles (en l'occurrence, cette faille est peut-être même déjà connue par des hackers en dehors du FBI)...
    le 06/04/2016 à 14:10
  • Zirak
    Inactif
    Envoyé par psychadelic

    Parce que Thor est obligé d'utiliser les normes et protocoles du réseau pour communiquer
    Thor est un dieu. Thor respecte les normes. Thor est gentil. Soyez comme Thor.
    le 11/04/2016 à 14:38
  • Qu'en pensez-vous ?
    Si le FBI botte en touche, c'est peut-être qu'ils ont utilisé une vulnérabilité pas encore connue (rappelez-vous la NSA qui a exploité une vulnérabilité SSL bien avant qu'elle ne soit annoncée). D'autre part, il faut garder en tête que le navigateur Tor est monté sur une souche Firefox avec ses propres vulnérabilités... Une fois la cible localisée d'un point de vue IP, ça n'est pas bien compliqué de faire des injections diverses et variées pour récolter les infos personnelles du PC. Si en plus l'utilisateur est un taré pédophile, c'est encore plus facile, il suffit d'un peu de créativité mal placée pour le "phisher"

    Quoi qu'il en soit, une organisation suffisamment puissante est en mesure :
    - de découvrir les services cachés de Tor par attaque de type "Circuit Fingerpinting" (c'est la vulnérabilité révélée par les types du MIT, cf http://people.csail.mit.edu/devadas/...uit_finger.pdf),
    - de découvrir les adresses IP exploitant lesdits services (ça se fait par analyse de Traffic Pattern, il y a plusieurs techniques, ça va du port mirroring qui copie le traffic vers une bécane qui fait de l'analyse jusqu'à l'exploitation de protocoles comme NetFlow sur les routeurs Cisco le long des circuits Tor).

    Je parle pas du cas de figure où cette même organisation peut sniffer le traffic entrant sur certains Entry et Exit points en simultané

    Steph
    le 05/04/2016 à 12:33
  Poster une réponse