La campagne de piratage du FBI a concerné plus d’un millier d’ordinateurs

L'été dernier, deux hommes ont été accusés d'avoir regardé des photos pédopornographiques sur Internet. Le site web concerné était protégé par Tor, dans le but de garder secrètes la localisation du serveur et l'identité des visiteurs. L'affaire semble classique, mais elle ne l'est pas : afin d'identifier les adresses IP des deux hommes, le FBI a piraté leur ordinateur.

La presse américaine s'est penchée sur l'affaire, ce qui a permis de médiatiser des arrestations similaires qui étaient restées dans l'ombre jusque là. Ce n'est que très récemment que l'on a pu mesurer l'ampleur de l'opération de piratage initiée par le FBI.

Afin de lutter contre l'un des plus gros sites de pédopornographie du dark web, le FBI a piraté plus d'un millier de d'ordinateurs, selon les documents judiciaires consultés par Motherboard et les entretiens avec les parties concernées.

« Cette opération est inédite, » explique Christopher Soghoian, responsable du département technologique au sein de l'Union américaine pour les libertés civiles (ACLU).

L'imageboard est apparu sur le dark web en août 2014. Les utilisateurs pouvaient s'y connecter et uploader librement des images, sans censure d'aucune sorte. Selon les documents judiciaires, le but avoué du site était de « promouvoir et de diffuser des images pédophiles. » Il s'appelle « Playpen. »

Un mois seulement après son lancement, Playpen avait récolté plus de 60 000 membres. L'année suivante, le site comptait près de 215 000 comptes, 117 000 posts, et recevait environ 11 000 visiteurs uniques chaque semaine. La plupart de ces posts, selon le rapport du FBI, contenaient des images pédophiles d'une violence insoutenable. D'autres proposaient des conseils adressés aux agresseurs sexuels pour utiliser Internet sans se faire repérer.

Une plainte du FBI décrit le site comme « l'un des plus gros sites pédopornographiques clandestins au monde. »

L'une des plaintes publiées comporte une section sur les détails de l'enquête. Elle montre que plus de 1300 adresses IP ont été obtenues. Un mois auparavant, en février 2015, le serveur hébergeant Playpen a été saisi par les autorités à Lenoir, en Caroline du nord, selon une plainte adressée à Peter Ferrell, l'un des accusés. (À Lenoir, les hébergeurs du site ont refusé de répondre à nos questions. L'un d'entre eux CentriLogic, nous a écrit par mail : « Nous n'avons aucun commentaire à faire sur cette affaire. Nous sommes tenus par nos obligations envers nos clients et par les consignes de la justice. »)

Après que Playpen a été repéré et confondu par les autorités, il n'a pas été fermé immédiatement, conformément à la procédure habituelle. À l'inverse, le FBI a fait tourner Playpen depuis ses propres serveurs, à Newington en Virginie, du 20 février au 4 mars. Durant cette période, le FBI a déployé ce que l'on appelle un « réseau d'investigation technique » (NIT), c'est-à-dire des techniques de piratage.

Tandis que Playpen tournait clandestinement sous le contrôle du FBI, les agents ont attaqué les ordinateurs des visiteurs. « Environ 1300 adresses IP ont été identifiées dans ce court laps de temps » lit-on sur les documents officiels.

La défense de l'un des accusés estime que le nombre d'IP saisies est probablement plus élevé que ce qui a été annoncé.

« Plus de 1500 cas correspondent au profil type de l'utilisateur contre lequel le FBI a adressé sa plainte » explique Colin Fieman, un avocat commis d'office qui défendra plusieurs individus accusés dans l'affaire. Fieman, qui représente notamment Jay Michaud, un enseignant arrêté à Vancouver en juillet 2015, estime que le nombre de personnes identifiées au cours de la même enquête est sans précédent.

« Il y aura probablement une recrudescence d'affaires de ce genre dans les six prochains mois, » ajoute-t-il. « On a seulement effleuré la surface du milieu pédopornographique. »

Fieman va prochainement devoir défendre trois personnes supplémentaires. De nouvelles plaintes ont été déposées dans le Connecticut, le Massachusetts, l'Illinois, l'état de New York, le New Jersey, la Floride, l'Utah et le Wisconsin.

Dans l'un de ses rapports, Fieman explique que l'usage du système NIT correspond ici à « une étendue des prérogatives du gouvernement dans la surveillance des citoyens à grande échelle à l'aide de méthodes illégales. »

Le NIT est utilisé depuis 2002 sous des formes diverses et variées. Les techniciens du FBI ont par exemple envoyé des malwares par mail à des terroristes présumés, pris le contrôle de services d'hébergement, ou exploité des failles connues dans Firefox pour identifier les utilisateurs qui se connectaient à Internet en utilisant le Tor Browser Bundle.

« L'Opération Torpédo » a été lancée en 2011 : à cette occasion, le FIB a piraté trois serveurs suspectés d'héberger du contenu pédopornographique, dans le but de traquer tous les utilisateurs s'étant connectés aux sites concernés. Les pirates fédéraux ont utilisé une application Flash qui ping l'adresse IP de l'utilisateur vers un serveur contrôlé par le FBI, plutôt que de router le traffic à partir de Tor, qui protège l'identité des internautes.

Quand WIRED a dénoncé l'opération en 2014, plus d'une dizaine d'internautes étaient déjà en procès. En deux semaines, le FBI avait traqué plus de 50 adresses IP.

L'affaire Playpen montre que le service fédéral est passé à la vitesse supérieure.

« Il ne s'agit pas de fouiller un ou deux ordinateurs. Dans le cas présent, le Fbi s'est autorisé à en pirater des milliers, et n'a eu besoin que d'un seul mandat pour cela, » explique Soghoian.

Jusqu'à présent, le FBI s'était contenté d'exploiter des failles de sécurité connues du grand public. En août 2013, le Tor Browser Bundle ne pouvait être mis à jour que manuellement. Lorsqu'une faille de sécurité était annoncée, certains utilisateurs patchaient leur système par eux-mêmes. Mais pas tous. Immanquablement, les négligents se faisaient prendre.

Dans l'affaire Playpen, le FBI a probablement exploité des négligences similaires : les mises à jour automatiques du Tor Browser Bundle n'ont été introduites qu'en août 2015, c'est-à-dire plusieurs mois après le début des attaques du FBI.

« À l'heure actuelle, rien ne nous permet de dire avec certitude que le FBI s'est contenté d'utiliser une vulnérabilité de type zero-day, ou d'exploiter des failles connues, » précise Soghoian.

Le mandat obtenu par le FBI lui permettait de pirater n'importe quel ordinateur s'étant connecté au site incriminé, cependant, les informations sur les méthodes de piratage employées restent extrêmement floues et incomplètes.

Nous avons néanmoins quelques indices. On sait que les techniques NIT utilisées diffèrent nécessairement de celles utilisées lors de l'Opération Torpédo, car selon les rapports de justice, ces dernières ne sont « plus en usage. »

« En gros, si vous visitez la page d'accueil du site, si vous remplissez un formulaire d'inscription ou si vous vous connectez à votre compte, le FIB a l'autorisation de récupérer votre adresse IP, » explique Fieman. À partir de là, le système NIT marque l'adresse IP en question d'un numéro d'identification, et récupère un certain nombre d'informations sur l'OS de l'ordinateur, son architecture logicielle, son adresse MAC, et les identifiants de l'administrateur.

Des experts affirment que la vraie nature de la méthode de piratage utilisée par le FBI n'a jamais été révélée aux juges quand les forces de l'ordre ont demandé l'autorisation de les mettre en œuvre.

« Même si le mandat autorisant le déploiement du NIT n'a pas été rendu public, d'autres mandats du même genre sont accessibles, » précise Soghoian. « Nous avons remarqué que les instances judiciaires étaient incapables de donner des précisions techniques sur les autorisations délivrées. Les juges ne comprennent pas en quoi consistent réellement les opérations qu'ils autorisent. Les mots 'failles de sécurité' ou 'piratage' ne sont jamais utilisés. »

« D'autre part, dans le cas où un juge maitriserait parfaitement son sujet, on peut penser qu'il n'a pas la légitimé pour autoriser des opérations de piratage à grande échelle » ajoute-t-il.

Theresa C. Buchanan, magistrat dans un district à l'est de la Virginie, a signé un mandat autorisant le déploiement du NIT. Elle n'a pas souhaité répondre à nos questions. Nous ne saurons donc pas si elle était bien consciente que sa décision permettrait au FIB d'attaquer quiconque a visité la page d'accueil de Playpen, et si elle a consulté des experts en informatique lors de la procédure.

Fieman, quant à lui, affirme que le mandat « autorise à traquer autant d'internautes que nécessaire, partout dans le monde. »

Il a entrepris de communiquer sur ce sujet afin d'informer le grand public. De toute évidence, la surveillance des citoyens est destinée à s'étendre et à se faire de plus en plus intrusive : « Nous ne pouvons plus nous passer d'un débat public. Le Congrès doit déterminer si les forces de l'ordre sont habilitées à utiliser ce genre de techniques. »

Un porte-parole du FBI a précisé à Motherboard que les opérations en cours et les méthodes de piratage utilisées resteraient confidentielles.

De nombreuses questions demeurent en suspens : comment la demande de mandat a été formulée, en quoi consiste exactement le système NIT, et combien d'ordinateurs ont été traqués hors du territoire américain.

La National Crime Agency (NCA) britannique, en contact étroit avec le FBI, a répondu à Motherboard qu'elle ne pouvait « ni confirmer, ni infirmer nos hypothèses, car elles portent sur des affaires de renseignement. La NCA ne peut en aucun cas se prononcer, pour des raisons de sécurité opérationnelles. Elle travaille en collaboration étroite avec des agences de renseignement au niveau international, sur des questions de sécurité civile et industrielle. En l'occurrence, nous travaillons aussi à réduire l'exploitation sexuelle des enfants. »

Europol, quant à elle, n'a pas souhaité nous répondre.