Tor | Un juge refuse à Mozilla les détails d’une éventuelle faille de Firefox

Un juge américain vient de débouter Mozilla dans sa demande d’intervention dans un procès pour pédopornographie. L’éditeur aimerait connaître les détails d’une possible faille de sécurité utilisée pour traquer des utilisateurs du réseau Tor.

Il ne désarme pas, mais a désormais peu de chances d’avoir ces informations dans l’immédiat.

Jay Michaud, directeur d’école, est accusé de pédopornographie.
Il lui est notamment reproché d’avoir consulté à de multiples reprises Playpen, un service de partage de contenus pédopornographiques sur le réseau Tor.

L’enquête menée par le FBI a pu mettre en évidence tout un réseau d’utilisateurs, débusqué grâce à une méthode non décrite, reposant sur une faille potentielle.

Cette méthode a permis un coup de filet conséquent. Dans un premier temps, un mandat délivré par un juge de Virginie a provoqué la saisie du nom de domaine, en février 2015. Une équipe spécifique du FBI a alors relancé le service depuis une infrastructure autorisant le traçage de tous ceux qui s’y connecteraient.

Après la collecte d’environ 1 300 d’adresses IP, les enquêteurs ont piraté directement les machines correspondantes via la « faille » mentionnée pour chercher des preuves.

Mozilla veut les détails

Or, culpabilité de Jay Michaud mise à part, c’est bien cette possible faille qui intéresse Mozilla.
Les accès au réseau se faisaient par Tor Browser, qui repose sur Firefox.

Le raisonnement de l’éditeur est donc très simple : la faille qui a permis au FBI de pirater les utilisateurs résidait peut-être dans le code de Firefox, laissant planer un danger pour tous les autres. D’autant que la brèche suspectée est présente depuis au moins un an et demi maintenant.

Dans un billet daté du 11 mai, la responsable juridique de l’entreprise, Denelle Dixon-Thayer, expliquait qu’une demande avait été déposée au tribunal de Tacoma, Washington, pour réclamer que soit révélés les détails.

Jusqu’à présent, ces derniers n’ont été communiqués qu’à la défense de Jay Michaud, ce que l’éditeur trouve illogique :

« Nous ne pensons pas que cela ait beaucoup de sens, puisque la faille ne peut de fait pas être corrigée avant d’être plus largement révélée ».

Le juge renvoie vers le département de la Justice

Le juge Robert Bryan vient de décliner cette demande. Pas question pour Mozilla d’intervenir dans le procès. Selon lui, la requête de l’éditeur ne concerne pas ce tribunal, mais bien le gouvernement américain lui-même, plus précisément le département de la Justice. Lui seul est habilité à dévoiler des informations sur des failles de sécurité, aucun tribunal ne pouvant l’y contraindre.

Dans une réponse donnée à Newsweek, Mozilla indiqué qu’elle continuera à « faire pression sur le gouvernement » pour lui « faire comprendre que la meilleure chose à faire pour la sécurité de nos utilisateurs est de révéler s’il y a ou non une vulnérabilité, et dans ce cas de nous permettre de la corriger ».

L’entreprise estime que toute personne découvrant une faille dans son navigateur devrait avoir la liberté de lui en communiquer les détails. Mais elle sait que la partie est perdue pour le moment.

Mozilla, Apple, même combat

Le cas est en effet très similaire à celui qui a opposé Apple au FBI. Ce dernier cherchait à obtenir les informations chiffrées stockées dans un iPhone 5c sous iOS 9. Apple ne possédant par le code de verrouillage (qui participe à la création de la clé de chiffrement), le FBI avait fait pression via une procédure juridique pour forcer l’entreprise à coopérer. Finalement, le Bureau avait fait savoir que l’aide d’Apple n’était plus requise et qu’une autre méthode, fonctionnelle, avait été trouvée.

Apple était montée au créneau : pas question de laisser se balader dans la nature une faille qu’elle ne connaissait pas. Dans un retournement de situation, la firme avait couru après le FBI pour demander de plus amples informations. Peine perdue, puisque seul le département de la Justice pouvait acquiescer à une telle demande, dont on connaît depuis la réponse.

Aux États-Unis, il faut rappeler que chaque faille transitant entre les mains d’une émanation du gouvernement passe au travers d’un processus nommé VEP, pour Vulnerabilities Equities Process. Au terme de celui-ci, il est déterminé si une brèche doit être révélée immédiatement à l’éditeur concerné, ou si elle peut être exploitée dans une opération des forces de l’ordre.

D’après des chiffres révélés par la NSA, 91 % des failles seulement font l’objet d’une communication aux entreprises. Pour les 9 % restants, la situation est beaucoup plus floue.

Source: http://www.nextinpact.com/