Facebook s’est offert une faille 0-day dans Tails
Facebook qui s’offre une faille de sécurité dans un système d’exploitation sécurisé, l’histoire racontée par Motherboard a de quoi faire lever le sourcil. Dans un article publié hier, le magazine américain explique pourtant comment Facebook a effectivement payé une société de cybersécurité afin de développer un exploit utilisant une faille de sécurité 0-day au sein du système d’exploitation Tails en 2017 afin d’aider le FBI à identifier un criminel agissant sur sa plateforme.
Le suspect de cette affaire, Buster Hernandez, a été arrêté en 2017. Celui-ci était actif depuis plusieurs années sur Facebook : il s’attaquait principalement à des utilisatrices mineures du réseau social, qu’il faisait chanter en faisant croire qu’il avait obtenu des photos intimes volées et multipliait les menaces d’attaques sur leurs famille et entourage pour leur extorquer de nouvelles photos et vidéos intimes. Buster Hernandez multipliait les victimes, mais parvenait toujours à échapper aux modérateurs de Facebook et à la police : il avait recours à plusieurs outils visant à garantir son anonymat, notamment la distribution Linux Tails. Cette distribution Linux bien connue des activistes se présente comme une distribution “amnésique”, qui ne laisse aucune trace sur l’ordinateur où elle est utilisée, et capable de rediriger la totalité du trafic internet de l’utilisateur au travers du réseau Tor afin de dissimuler son identité.
Pour les modérateurs de Facebook, l’utilisation de ces outils rendait impossible la traque de Buster Hernandez : impossible de repérer sa véritable adresse IP et d’éventuellement la transmettre aux autorités pour qu’il soit interpellé. Impossible aussi de l’empêcher de recréer de nouveaux comptes et d’agir sur la plateforme, multipliant les victimes sous de nouvelles identités. Pour Facebook, Hernandez était néanmoins un problème : Motherboard indique ainsi qu’un employé avait la tache spécifique de garder un œil sur ses activités et un algorithme de machine learning visant à identifier son comportement a été développé en interne.
Un coup de main à plusieurs centaines de milliers de dollars
En 2017, le FBI est néanmoins parvenu à désanonymiser Hernandez en lui envoyant une vidéo piégée avec un logiciel, qui lui a permis d’identifier sa véritable adresse IP lors de l’ouverture de la vidéo. Mais le FBI était resté à l’époque assez peu bavard sur la technique employée et la façon dont celle-ci avait été développée. Selon Motherboard, c’est parce que le FBI doit son coup de filet à l’effort de Facebook : pour aider les autorités américaines à appréhender le suspect, le réseau social a choisi de débourser une somme importante (à six chiffres selon le magazine américain) pour se procurer une faille de sécurité 0-day dans Tails. Il s’agit d’une faille de sécurité inconnue de l’éditeur, et donc ne disposant pas de correctif. En l’occurrence, il s’agissait d’une faille de sécurité affectant le lecteur vidéo de Tails. Facebook s’est procuré la faille en question auprès d’un revendeur dont le nom n’a pas été publié et l’a transmise aux agents du FBI chargés de l’enquête, qui s’en sont ensuite servis pour identifier Hernandez et l’arrêter à l’aide d’un mandat d’arrêt en bonne et due forme.
Selon Motherboard, qui cite des sources internes à Facebook, ce choix a été fait en dernier recours afin d’aider l’enquête. En interne, les avis concernant l’approche retenue par Facebook font débat : certains estiment que l’intervention de Facebook était parfaitement justifiée et a permis de mettre fin aux crimes d’un individu suspecté de crimes pédophiles répétés. D’autres sont moins à l’aise avec le précédent que pose l’affaire : en offrant ce type d’aide aux autorités américaines, ce genre d’affaires pourrait se reproduire à l’avenir avec des dérives possibles.
Les administrateurs de Tails ont indiqué à Motherboard n’avoir jamais entendu parler de la faille en question ni de l’affaire. Les sources internes citées par le magazine indiquent qu’un correctif pour le bug en question était prévu de longue date, ce qui limitait dans le temps l’impact de la faille en question.
Facebook n’a rien fait d’illégal dans cette affaire : en apportant son aide aux enquêteurs et en acceptant de payer une somme conséquente pour se procurer la faille en question, le réseau social a joué un rôle essentiel dans l’arrestation d’un criminel. La situation interroge néanmoins. Si Facebook assure qu’il s’agissait d’une situation « exceptionnelle » n’ayant pas vocation à se reproduire, le FBI ne l’entend peut-être pas de cette oreille et les services de police de nombreux autres pays risquent d’invoquer ce précédent pour appuyer leurs demandes d’assistance. C’était le risque évoqué par Apple en 2016 dans l’affaire l’ayant opposé au FBI autour de la tuerie de San Bernardino. Apple avait à l’époque refusé d’aider le FBI à décrypter l’iPhone ayant appartenu au tueur.
