Le FBI a trouvé Eric Marques en cassant le célèbre service d'anonymat Tor, et les agents ne veulent pas révéler si une vulnérabilité a été utilisée. Cela inquiète les militants et les avocats.
Lorsque le cybercriminel entrepreneur Eric Eoin Marques a plaidé coupable devant un tribunal américain cette semaine, cela devait mettre un terme à une lutte juridique internationale de sept ans centrée sur son empire du dark web.
Au final, cela n'a rien donné.
Marques encourt jusqu'à 30 ans de prison pour avoir dirigé Freedom Hosting, qui a temporairement existé en échappant à la loi et a fini par être utilisé pour héberger des sites de vente de drogue, des opérations de blanchiment d'argent, des groupes de piratage et des millions d'images montrant des enfants abusés. Mais il reste une question à laquelle la police n'a pas encore répondu : Comment exactement ont-ils pu l'attraper ? Les enquêteurs ont réussi d'une manière ou d'une autre à briser les couches d'anonymat que Marques avait construites, ce qui les a amenés à localiser un serveur crucial en France. Cette découverte les a finalement menés à Marques lui-même, qui a été arrêté en Irlande en 2013.
Marques a été le premier d'une série de cybercriminels célèbres à être pris en flagrant délit, bien qu'il ait cru que l'utilisation du réseau Tor, qui protège l'anonymat, les rendrait plus tranquilles derrière leurs claviers. L'affaire démontre que les agences gouvernementales peuvent tracer des suspects à travers des réseaux conçus pour être impénétrables.
Marques a accusé les hackers de premier plan de la NSA américaine, mais le FBI a également intensifié ses efforts depuis 2002. Et, selon certains observateurs, ils dissimulent souvent des détails clés de leurs enquêtes aux accusés comme aux juges - un secret qui pourrait avoir de vastes implications en matière de cybersécurité sur Internet.
"La question primordiale est de savoir quand les accusés ont le droit d'obtenir des informations sur la façon dont les forces de l'ordre les ont localisés", demande Mark Rumold, avocat à l'Electronic Frontier Foundation, une organisation qui promeut les libertés civiles en ligne. "Cela rend un mauvais service à notre système de justice pénale lorsque le gouvernement cache des techniques d'enquête au public et aux accusés criminels. Souvent, la raison pour laquelle ils font ce genre d'obscurcissement est que la technique qu'ils utilisent est douteuse sur le plan juridique ou pourrait soulever des questions dans l'esprit du public sur les raisons pour lesquelles ils le font. Bien qu'il soit fréquent qu'ils le fassent, je ne pense pas que cela profite à qui que ce soit".
Freedom Hosting était une entreprise anonyme et illicite de cloud computing qui gérait ce que certains estimaient être jusqu'à la moitié de tous les sites web clandestins en 2013. La société existait entièrement sur le réseau anonyme Tor et était utilisée pour un large éventail d'activités illégales, y compris le forum de piratage et de fraude HackBB et des opérations de blanchiment d'argent, dont l'Onion Bank. Elle assurait également la maintenance des serveurs du service de messagerie électronique légal Tor Mail et de l'encyclopédie singulièrement étrange Hidden Wiki.
Mais c'est l'hébergement de sites utilisés pour des photos et des vidéos concernant les abus d'enfants qui a attiré l'attention des gouvernements les plus hostiles. Lorsque Marques a été arrêté en 2013, le FBI l'a appelé le "plus grand diffuseur" de telles images "sur la planète".
Au début du 2 ou 3 août 2013, certains utilisateurs ont remarqué un "Javascript inconnu" caché dans des sites web fonctionnant sur Freedom Hosting. Quelques heures plus tard, alors que les discussions paniquées sur le nouveau code commençaient à se répandre, tous les sites ont été fermés simultanément. Le code avait attaqué une vulnérabilité de Firefox qui pouvait cibler et démasquer les utilisateurs de Tor - même ceux qui l'utilisaient à des fins légales comme la visite de Tor Mail - s'ils ne mettaient pas à jour leur logiciel assez rapidement.
Alors qu'elle contrôlait Freedom Hosting, l'agence a ensuite utilisé des logiciels malveillants qui ont probablement touché des milliers d'ordinateurs. L'ACLU a critiqué le FBI pour avoir utilisé le code sans discernement comme une "grenade".
Le FBI avait trouvé un moyen de briser les protections de l'anonymat de Tor, mais les détails techniques de la façon dont cela s'est passé restent un mystère.
"Peut-être que la plus grande question liée à l'enquête sur cette affaire est de savoir comment le gouvernement a pu percer le secret de l'anonymat de Tor et localiser l'adresse IP du serveur en France", ont écrit les avocats de la défense de Marques dans un récent dossier.
Dans l'acte d'accusation original, il y a peu d'informations au-delà des références à une "enquête en 2013" qui a trouvé une adresse IP clé liée à Freedom Hosting (appelé dans le document "AHS", ou service d'hébergement anonyme).
Les avocats de la défense de Marques ont déclaré qu'ils n'avaient reçu que de "vagues détails" de la part du gouvernement, et que "cette divulgation a été retardée, en partie, parce que les techniques d'enquête employées étaient, jusqu'à récemment, classifiées".
Peter Carr, un porte-parole du ministère de la Justice, a déclaré que la lettre "n'est pas dans le dossier public". Les avocats de la défense n'ont pas répondu aux questions.
Une divulgation moins complète
Les agences gouvernementales américaines découvrent régulièrement des vulnérabilités dans les logiciels dans le cadre de leur travail de sécurité. Parfois, ces vulnérabilités sont révélées aux fournisseurs de technologies, tandis que d'autres fois, le gouvernement décide de conserver ces failles pour les utiliser comme armes ou dans le cadre d'enquêtes. Il existe un système formel pour décider si un problème doit être partagé, connu sous le nom de Vulnerabilities Equities Process. Ce système est censé permettre la divulgation par défaut, en partant du principe que tout bogue qui touche les "méchants" peut également être utilisé contre les intérêts américains ; une agence qui souhaite utiliser un bogue important dans une enquête doit obtenir une approbation, sinon le bogue sera divulgué publiquement. Les responsables américains affirment que la grande majorité de ces vulnérabilités finissent par être divulguées afin qu'elles puissent être corrigées, l'idéal étant d'accroître la sécurité de l'internet pour tous.
Mais si le FBI a utilisé une vulnérabilité logicielle pour trouver les serveurs cachés de Freedom Hosting et n'a pas divulgué les détails, ils pourraient encore potentiellement l'utiliser contre d'autres personnes sur Tor. Cela inquiète les observateurs.
"Il n'est pas rare de jouer à ces jeux où ils cachent la source de leurs informations", explique M. Rumold, de l'EFF.
Tor est un logiciel libre conçu pour permettre à quiconque d'utiliser l'internet de manière anonyme en chiffrant le trafic et en le faisant transiter par différents nœuds afin de brouiller les connexions avec les utilisateurs d'origine. Les utilisateurs peuvent être des Américains malades d'être traqués par des sociétés de publicité, des Iraniens qui tentent de contourner la censure, des dissidents chinois qui échappent à la surveillance nationale, ou des criminels comme Marques qui tentent de devancer la police internationale. Les utilisateurs sont divers à tous égards, mais les vulnérabilités des logiciels peuvent les affecter tous.
Dans une affaire pénale de 2017, le gouvernement américain a fait passer le secret de ses outils de piratage avant tout. Les procureurs ont choisi d'abandonner toutes les charges dans une affaire d'exploitation d'enfants sur le dark web plutôt que de révéler les moyens technologiques qu'ils ont utilisés pour localiser l'utilisateur anonyme de Tor.
La fermeture de Freedom Hosting a été la première d'une série de succès étonnants des forces de l'ordre internationales qui ont fermé certains des sites web criminels les plus en vue de l'histoire.
Deux mois après l'arrestation de Marques, le marché libre Silk Road a été fermé dans le cadre d'une autre opération menée par le FBI. Après avoir facilité au moins des centaines de millions de dollars de ventes, Silk Road est devenu un symbole de l'apparente invulnérabilité des criminels qui peuplent le dark web. Bien que l'opération ait duré moins de trois ans, il était clair que le fondateur de Silk Road, surnommé Dread Pirate Roberts, se sentait invincible. Vers la fin, le mystérieux anonyme donnait des interviews à des magazines comme Forbes et écrivait des essais politiques sur sa cause et l'idéologie qui la sous-tendait.
Puis, en octobre 2013, Ross Ulbricht, un libraire en ligne de 29 ans, a été arrêté à San Francisco et accusé de diriger Silk Road. Il a finalement été condamné à la prison à vie, une peine qui dépasse de loin celle que Marques pourrait recevoir à la date de sa condamnation en mai.
Freedom Hosting et Silk Road n'étaient que les sites du dark web les plus connus qui ont été détruits par les forces de l'ordre malgré l'anonymat que Tor est censé fournir.
"Nous ne pouvons pas avoir un monde où un gouvernement est autorisé à utiliser une boîte noire de technologie d'où jaillissent ces graves poursuites pénales", déclare Rumold. "Les défendeurs doivent avoir la possibilité de tester et d'examiner les méthodes qui sont utilisées dans les poursuites pénales".
source :
https://www.technologyreview.com/s/615163/a-dark-web-tycoon-pleads-guilty-but-how-was-he-caught/