Le FBI refuse de communiquer sur une faille touchant Tor et Firefox, la justice lui donne raison

Business

Par Elodie le

Le FBI poursuit sa volonté de ne pas communiquer aux entreprises concernées les failles débusquées et exploitées par ses services pour mener ses investigations. Aujourd’hui, la justice américaine vient de lui donner raison dans le litige l’opposant à Mozilla.

fbi_mozilla_failles

En janvier dernier, Motherboard révélait que le FBI avait piraté le deep web pour fermer « le plus grand réseau de pornographie juvénile au monde présent sur le dark web ».

En février 2015, au cours de leur enquête, le FBI mettait la main sur le site Playpen accessible depuis le réseau Tor, censé garantir l’anonymat de ses utilisateurs. Grâce à une méthode « sans précédent », le FBI avait mis la main sur les serveurs du site et avait pu collecter 1 300 adresses IP permettant l’identification des internautes s’y connectant. Pendant deux semaines, le FBI a laissé le site tourner alors que ses serveurs avaient été détournés par le bureau d’investigation qui pouvait collecter toutes les données nécessaires à son enquête. Ce qui n’a pas manqué de soulever l’indignation de l’opinion et de la presse.

Près de 215 000 personnes en ont été membres. Aujourd’hui, 137 personnes doivent répondre de leurs actes devant la justice.

Cette méthode, appelée « technique d’investigation réseau » (NIT – Network Investigative Technique), a permis l’implémentation d’un malware infectant les ordinateurs des internautes afin de tracer leur adresse IP.

Malware qui a pu être introduit grâce à l’exploitation d’une faille zero-day dans le navigateur Tor Browser, ce qui n’avait pas été communiqué dans un premier temps. Selon les médias américains, le FBI serait allé débaucher un ancien développeur du projet Tor pour réaliser son forfait.

Mais Tor repose en partie sur le code source de Firefox, Mozilla a donc déposé un recours afin que le FBI lui communique la faille exploitée pour qu’elle la corrige.
Du moins, que la fondation soit la première à être tenue informée avant toute autre personne. Dans un premier temps, le juge de Tacoma (Washington) avait ordonné au FBI de transmettre la faille à la défense (de l’un des 137 accusés), mais pas au développeur. Le FBI s’étant même refusé à préciser si la faille était connue de Mozilla ou non ou même s’il a soumis cette faille au Vulnerabilities Equities Process (VEP) pour déterminer si elle devait être communiquée à l’entreprise touchée.

« Certains ont spéculé, y compris des membres de l’équipe de la défense, que la vulnérabilité pourrait exister dans la partie du code du navigateur Firefox sur laquelle repose le navigateur Tor. À ce stade, personne (nous y compris) en dehors du gouvernement ne sait quelle vulnérabilité a été exploitée et si elle réside dans notre base de code. Le juge dans cette affaire a ordonné au gouvernement de divulguer la vulnérabilité à l’équipe de la défense, mais pas à l’une des entités qui pourraient effectivement corriger la vulnérabilité », indique ainsi la directrice juridique de Mozilla, Denelle Dixon-Thayer.

Le FBI, via le Département de la Justice, a demandé au tribunal de reconsidérer sa décision au nom de la sécurité nationale. C’est à ce titre que le FBI a également refusé de communiquer à Apple la faille exploitée pour contourner la sécurité de l’iPhone de San Bernardino.

Le juge a indiqué à Mozilla que cette requête devait désormais être formulée directement auprès du gouvernement des États-Unis.

Source: Source