En juillet 2014, les responsables du développement de Tor, outil permettant de se connecter à Internet de manière anonyme indiquait dans un message sur leur blog que leur service avait été compromis par une attaque initiée à partir du 30 janvier 2014 par l’ajout de nœud corrompu dans le réseau. « Tous les utilisateurs qui ont proposé ou utilisé des services cachés de début février jusqu’au 4 juillet dernier doivent considérer qu’ils ont été affectés », écrivaient-ils.
Hier, 11 novembre 2015, les mêmes responsables de Tor ont repris leur plume pour donner de nouvelles informations sur cette attaque. D’après eux, elle aurait été menée par des chercheurs de la prestigieuse université de Carnegie Mellon (CMU) qui auraient été payés par le FBI.
Les universitaires auraient mené une attaque sur le service pour ensuite pouvoir consulter les données qui transitaient via Tor et rechercher des informations liées à de potentielles actions criminelles. Le post sur le blog du projet Tor précise également qu’une source leur aurait indiqué que la CMU aurait touché un million de dollars pour mener à bien cette attaque.
Une question d’éthique
Les auteurs du message s’interrogent évidemment sur la légalité d’une telle procédure. Y avait-il un mandat ? Les chercheurs universitaires étaient-ils supervisés par un comité de leur université ? Les membres du projet Tor émettent de forts doutes. Pour eux, l’attaque était trop large, elle ne ciblait pas seulement des activités criminelles, et ne pouvait donc pas être validée et autorisée par un juge. Ils rappellent également que cette première est très préoccupante pour les libertés civiles, surtout si les « forces de l’ordre » confient désormais la recherche de preuves à des universités.
Pour le projet Tor, « si les chercheurs académiques utilisent la recherche pour mettre à mal la vie privée, l’intégralité de l’activité de la recherche en sécurité verra sa réputation entachée », craignent-ils, avant de poursuivre que désormais les libertés de tous pourraient être bafouées.
Il y a quelques mois des chercheurs en sécurité avaient déjà remarqué des similitudes entre l’attaque menée contre Tor et un intervention de chercheurs de la CMU lors d’une Black Hat. Par ailleurs, dans le cadre de l’affaire Silk Road 2.0, des documents semblaient indiquer que le FBI avait eu recours à une source extérieure d’information, qui pourrait être une université. Pour autant, aucun élément probant ne permettait jusque-là de désigner une université précisément.
Pour montrer que sa position n’est pas celle d’un prestataire de service pour criminels, le projet Tor rappelle également qu’il travaille avec la police dans le cadre d’enquête « éthique ». Voir des universitaires payés un million de dollars pour mener un attaque tout azimut n’entre vraisemblablement pas dans cette catégorie.
Source :
Blog de Tor
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
