Facebook a aidé le FBI à pirater un pédophile

Pendant des années, un Californien a systématiquement harcelé et terrorisé des jeunes filles sur Facebook. Il les manipulait et menaçait de procéder à des fusillades ou à des attentats à la bombe dans leurs écoles si elles ne lui envoyaient pas des photos et des vidéos sexuellement explicites.

Buster Hernandez, qui se faisait appeler « Brian Kil » en ligne, savait si bien dissimuler sa véritable identité que Facebook a pris une mesure sans précédent : aider le FBI à pirater l’ordinateur du prédateur afin de recueillir des preuves qui mèneraient à son arrestation et à sa condamnation. Facebook a travaillé avec une société tierce pour développer une vulnérabilité « zero-day » et ne l'a pas remise directement au FBI. Il n'est d’ailleurs pas clair si le FBI savait même que Facebook était impliqué dans le développement de cette vulnérabilité. Selon des sources au sein de l'entreprise, c'est la première et unique fois que Facebook a aidé les forces de l'ordre à pirater une cible.

C’est donc une collaboration inédite entre un géant technologique de la Silicon Valley et le FBI. Mais si la cause est noble, la situation soulève des questions éthiques : à quel moment – si tant est qu’il y en a un – est-il approprié pour une entreprise privée d'aider au piratage de ses utilisateurs ? Facebook a développé une vulnérabilité « zero-day » dans Tails, un système d’exploitation dont le but est de préserver la vie privée en ligne en acheminant automatiquement tout le trafic Internet d'un utilisateur à travers le réseau d'anonymat Tor. Cela a permis de démasquer la véritable adresse IP de Hernandez, ce qui a finalement conduit à son arrestation.

Un porte-parole de Facebook nous a confirmé avoir travaillé avec des « experts en sécurité » pour aider le FBI à pirater Hernandez : « Le seul résultat acceptable pour nous était que Buster Hernandez soit tenu responsable de ses abus sur les jeunes filles. C'était un cas unique, car il utilisait des méthodes tellement sophistiquées pour cacher son identité, que nous avons pris la mesure extraordinaire de travailler avec des experts en sécurité pour aider le FBI à le traduire en justice. »

Selon un ancien employé de Facebook au courant de la situation, les actions de Hernandez étaient si violentes que l'entreprise n’avait pas d’autre choix que d’agir : « Il n’y avait absolument aucun risque pour les utilisateurs. Facebook n’aurait jamais entrepris cette action si elle était susceptible d’affecter quelqu’un d’autre. Puisqu’il n’y avait pas de risques pour la vie privée des utilisateurs, et que l’impact humain était si important, je pense que c’était la bonne décision à prendre. »

Pourtant, d’autres affirment que cette décision était particulièrement controversée en interne. Nous avons garanti l'anonymat des sources afin qu’elles puissent discuter d'événements sensibles protégés par des accords de non-divulgation.

Les crimes commis par Buster Hernandez sont odieux. L'acte d'accusation du FBI est une lecture nauséabonde. Il envoyait des messages de ce type à des filles mineures sur Facebook : « Salut, je dois te demander quelque chose. C'est assez important. À combien de mecs as-tu envoyé des photos cochonnes ? Parce que j'en ai certaines en ma possession. »

Lorsque la victime répondait, il lui demandait des vidéos et des photos sexuellement explicites, sinon quoi il envoyait les autres à ses proches (en réalité, il n'avait pas de photos du tout). Menaces de viol, menaces de mort : cette manipulation pouvait durer des mois, voire des années. Dans certains cas, il disait aux victimes que si elles se suicidaient, il publierait leurs nudes sur leurs pages commémoratives.

Il disait vouloir être « le pire cyberterroriste qui ait jamais vécu ». « Je veux laisser une trace de mort et de feu [dans ton lycée] », a-t-il écrit en 2015. « Je vais massacrer ta classe et te garder pour la fin. Je vais me pencher sur toi pendant que tu me supplieras pour ta vie et trancher ta putain de gorge d'une oreille à l'autre. »

Hernandez utilisait le système d'exploitation sécurisé Tails pour cacher sa véritable adresse IP. Grâce à cet outil, il a contacté et harcelé des dizaines de victimes sur Facebook pendant des années jusqu'en 2017, selon des documents judiciaires. Le système d'exploitation est aussi largement utilisé par les journalistes, les militants et les dissidents qui sont menacés de surveillance par la police et les gouvernements. Selon un porte-parole de Tails, le système est « utilisé quotidiennement par plus de 30 000 militants, journalistes, survivants de violences domestiques et citoyens soucieux de leur vie privée ».

Hernandez était tellement connu sur Facebook que les employés le considéraient comme le pire criminel qui ait jamais utilisé la plateforme. Facebook a même chargé un employé de le suivre pendant environ deux ans et a développé un nouveau système d'apprentissage automatique conçu pour détecter les utilisateurs créant de nouveaux comptes et approchant des enfants pour tenter de les exploiter. Le système a été capable de détecter Hernandez et de relier ses différents comptes sous pseudonymes et leurs victimes respectives.

Plusieurs agents du FBI étaient impliqués dans la chasse, et le FBI avait déjà essayé de le pirater et de l'identifier auparavant, mais sans succès, puisque l'outil de piratage qu'ils utilisaient n'était pas adapté à Tails. Hernandez a remarqué la tentative de piratage et a provoqué le FBI, selon les deux anciens employés.

L'équipe de sécurité de Facebook, alors dirigée par Alex Stamos, a réalisé qu'elle devait faire plus et a conclu que le FBI avait besoin de son aide pour démasquer Brian Kil. Facebook a engagé une société de conseil en cybersécurité pour développer un outil de piratage, qui a coûté des centaines de milliers de dollars. Nos sources ont décrit l'outil comme une vulnérabilité « zero-day », c’est-à-dire une vulnérabilité inconnue des développeurs de logiciels. La société a travaillé avec un ingénieur de Facebook et a écrit un programme pouvant exploiter une faille dans le lecteur vidéo de Tails, révélant la véritable adresse IP de la personne qui regarde la vidéo. Enfin, Facebook a donné l'outil à un intermédiaire qui l'a remis aux fonctionnaires fédéraux, selon trois anciens employés et employés actuels qui sont au courant des événements.

Facebook dit avoir identifié l'approche à utiliser, mais n'a pas développé l'outil spécifique, et n'a poursuivi l'option de piratage qu'après avoir épuisé toutes les autres. Le FBI a ensuite obtenu un mandat et a piégé Hernandez avec l’aide d’une victime. En février de cette année, Hernandez a plaidé coupable à 41 chefs d'accusation : production de matériel pédopornographique, détournement de mineur, menaces de mort et d’enlèvement, pour n’en citer que quelques-uns. Il est maintenant en attente de sa condamnation et passera probablement pas mal d’années en prison.

Un porte-parole du FBI a refusé de commenter cette affaire, affirmant qu'il s'agissait d'un « problème en cours », et nous a renvoyé vers le bureau du procureur américain du district sud de l'Indiana, qui a poursuivi Hernandez. Le bureau du procureur américain du district sud de l'Indiana n'a pas répondu à nos multiples mails et appels à commentaires.

Facebook mène régulièrement des enquêtes sur des criminels présumés sur sa plateforme, des cybercriminels ordinaires aux harceleurs, en passant par les extorqueurs et les personnes se livrant à l'exploitation des enfants. Plusieurs équipes à Menlo Park et dans d'autres bureaux de l'entreprise recueillent les plaintes des utilisateurs et traquent ces criminels. Ces équipes sont composées d'experts en sécurité, dont certains ont travaillé pour le gouvernement, notamment le FBI et le département de police de la ville de New York, selon les profils LinkedIn des employés.

Mais selon les sources, c'est la première fois que Facebook aide le FBI à poursuivre un criminel présumé de cette manière, en développant un outil spécifique pour désanonymiser les cibles. Pour certains employés, il s'agit d'une décision controversée. « Ce concept est complètement tordu […] et très problématique », s’indigne une source. « Tout ce que nous avons fait était parfaitement légal, mais nous ne sommes pas les autorités », estime une autre.

Selon un ancien employé qui a eu connaissance de l'enquête, ce partenariat avec une société de cybersécurité était justifiée, étant donné qu'ils poursuivaient un prédateur en série : « Je pense qu'ils ont fait ce qu'il fallait ici. Ils consacrent beaucoup d'efforts à la sécurité des enfants. Il est difficile d'imaginer qu'une autre entreprise puisse consacrer autant de temps et de ressources à essayer de limiter les dégâts causés par un criminel. »

Le fait que le piratage se soit produit sur Tails, et non sur Facebook, ajoute une couche éthique particulièrement épineuse à l’affaire. Bien que ce piratage particulier devait être utilisé contre un criminel précis, le fait de fournir des vulnérabilités zero-day aux autorités comporte le risque qu'elles soient utilisées dans d'autres cas moins sérieux. La sécurité de ces produits ne peut pas être compromise sans compromettre tout le monde, c'est pourquoi les outils zero-day sont souvent des secrets bien gardés et vendus pour des sommes élevées. S'ils tombent entre de mauvaises mains, cela peut être désastreux.

Un porte-parole de Tails a déclaré dans un mail que les développeurs du projet « ne connaissaient pas l'histoire de Hernandez jusqu'à présent, et nous ne savons pas quelle vulnérabilité a été utilisée pour l’identifier ». Il a qualifié cette information de « nouvelle et peut-être sensible », et a déclaré que la vulnérabilité n'avait jamais été expliquée à l'équipe. De nombreux chercheurs en sécurité – dont certains travaillent pour de grandes entreprises comme Google – passent par un processus appelé « divulgation coordonnée », dans lequel les chercheurs informent les entreprises qu'ils ont trouvé une vulnérabilité dans leur logiciel, et leur donnent le temps de la corriger avant d’en divulguer les détails au public.

Dans ce cas, cependant, cela n'a pas été fait parce que le FBI avait l'intention d'exploiter la vulnérabilité contre une cible réelle.

Depuis des années, les hauts responsables de l'application de la loi et les législateurs tirent la sonnette d'alarme sur le problème dit du « going dark », un scénario dans lequel les criminels et les terroristes profitent d'un cryptage fort pour échapper à l'arrestation et aux poursuites. Avec l'essor du cryptage par défaut, les autorités et les gouvernements piratent de plus en plus souvent leurs cibles pour obtenir leurs communications et leurs données.

S’il y a une chose qui a convaincu l'équipe de sécurité de Facebook que cette mesure était appropriée, selon les sources, c’est qu'il y avait une mise à jour de Tails à venir où la vulnérabilité avait été supprimée. Elle avait donc une date d'expiration, selon deux sources bien informées.

D'après ce que savait l'équipe Facebook, les développeurs de Tails n'étaient pas conscients de la faille, bien qu'ils aient supprimé le code concerné. L'un des anciens employés de Facebook qui a travaillé sur le projet a déclaré que le plan était d'informer éventuellement Tails sur le « zero-day », mais ils ont réalisé que ce ne serait pas nécessaire car le code avait déjà été corrigé.

Selon Amie Stepanovich, directrice exécutive du Silicon Flatirons Center à l'université du Colorado, il est important de se rappeler que, quel que soit l'outil utilisé, ces vulnérabilités logicielles peuvent être utilisées contre des personnes innocentes : « Une vulnérabilité peut être utilisée contre n'importe qui. Tails peut être utilisé par des criminels, mais c'est aussi un outil pour les activistes, les journalistes et les fonctionnaires, et pour quiconque veut se protéger. C'est pourquoi il est important d'avoir des processus transparents pour découvrir les vulnérabilités et y répondre, y compris une préférence standard pour les signaler au personnel, à l'organisation ou à l'entreprise appropriés. »

Selon le sénateur Ron Wyden, qui observe de près l'utilisation du piratage par les forces de l'ordre, cette affaire soulève des questions sur la manière dont le FBI a utilisé l'outil acquis par Facebook : « Le FBI l'a-t-il réutilisé dans d'autres affaires ? A-t-il partagé la vulnérabilité avec d'autres agences ? A-t-il soumis le « zero-day » à l'examen du processus inter-agences d'équité en matière de vulnérabilité ? Il est clair qu'il faut plus de transparence sur la façon dont le gouvernement utilise les outils de piratage. »

Mais les chercheurs et les ingénieurs en sécurité qui ont approuvé cette action à l'époque ont déclaré qu'il n'y avait pas d'autre choix. « Nous savions qu'il allait être utilisé pour mettre la main sur un criminel, explique l'une des sources ayant une connaissance directe de l'affaire. Il y avait un méchant qui commettait des crimes, et nous voulions le débusquer. »

VICE France est sur Twitter, Instagram, Facebook et sur Flipboard.