Firefox : le FBI connaîtrait une faille inconnue de Mozilla….

FBIEn février 2016, le FBI démantelait le réseau d’échange de pédopornographie Playpen. Ce service hébergé via le réseau Tor comptait plus de 215.000 membres inscrits. Le FBI, lors d’une opération visant à démanteler le réseau, est parvenu à prendre le contrôle des serveurs hébergeant le site. Mais au lieu de faire immédiatement fermer le site, ils ont profité de leur position pour identifier et obtenir les adresses IP de plusieurs milliers d’utilisateurs.

L’opération du FBI n’a pas manqué de susciter quelques inquiétudes, le FBI ayant eu recours à des outils de hacking pour identifier les utilisateurs du site. De nombreux acteurs se demandent si le FBI n’a pas outrepassé ses prérogatives en adoptant une tactique de ce type.

Les juges ont donc demandé au FBI de fournir plus de détails sur la méthode employée et de révéler au tribunal le code source des exploits et des vulnérabilités utilisées par le FBI pour identifier les suspects. Un full disclosure exigé par la défense de certains accusés, qui estiment que l’agence n’est pas en mesure de prouver de manière indéniable que leur adresse IP a bien été identifiée.

Mozilla s’invite dans l’affaire

Mais Mozilla n’est pas vraiment enthousiasmé par cette idée. En effet, l’éditeur du navigateur Firefox craint que le FBI n’exploite une faille au sein du navigateur Firefox pour identifier les utilisateurs du site Playpen. Firefox est en effet utilisé comme la base du Tor Browser, le navigateur proposé par le site du projet Tor comme l’outil de référence pour accéder aux sites hébergés via le réseau en oignon.

Dans un post de blog, Denelle Dixon Thayer, directrice juridique chez Mozilla, explique la position délicate de l’éditeur de Firefox à l’égard de cette affaire. « Actuellement, personne (pas même nous) excepté le gouvernement ne connaît la nature de la vulnérabilité exploitée par le FBI dans cette affaire. Le juge a ordonné que cette vulnérabilité soit communiquée aux représentants de la défense, mais pas aux acteurs qui seraient en mesure de corriger cette faille. Nous pensons que cela ne fait aucun sens, car cela ne permet pas de corriger la faille avant que celle-ci ne soit plus largement connue. »…/…

Lire la suite

Source ZDNet

Voir aussi:

Le site de Pathé redirigeait les internautes vers un ransomware

Symantec continue sa réorganisation et supprime 1200 emplois

L’analyseur syntaxique « le plus précis du monde », SyntaxNet, passe à l’open source