Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook a exploité une vulnérabilité 0-day du lecteur média de Tails, une distribution Linux,
Pour aider le FBI à arrêter un pédophile

Le , par Bill Fassinou

114PARTAGES

5  0 
La chasse aux prédateurs sexuels en ligne ne date pas d’aujourd’hui et les forces de l’ordre sont souvent dépassées par les moyens utilisés par ses malfaiteurs. D’après un nouveau rapport, Facebook a aidé le FBI à mettre la main sur l’un d’entre eux grâce à un outil de piratage qu’il a développé. Par contre, si l’outil de Facebook a permis au FBI d’attraper le pédophile Buster Hernandez, elle soulève de nombreuses questions liées à l’éthique aux yeux de plusieurs personnes. La question est de savoir si Facebook a le droit de pirater des comptes d’utilisateurs de sa propre plateforme.

L’exploit développé par les ingénieurs de Facebook est dirigé contre la distribution GNU/Linux Tails. Pour rappel, Tails (The Amnesic Incognito Live System) est une distribution GNU/Linux basée sur la sécurité fondée sur Debian qui a pour but de préserver vie privée et anonymat. Toutes les connexions réseau transitent soit via le réseau Tor, soit sont bloquées. Ces derniers ont par la suite transmis le logiciel au FBI qui s’en est servi afin de traquer le prédateur d'enfants. Selon le rapport, Buster Hernandez est recherché depuis plusieurs années par les autorités.


Il est décrit comme étant un prédateur sexuel d’enfants insatiable. Sa principale occupation est d’utiliser régulièrement le réseau social pour extorquer des photos et des vidéos de jeunes femmes nues, ainsi que pour leur envoyer des menaces de viol, d'attentats à la bombe et de fusillades en masse dans des écoles. Il est présent sur Facebook sous le pseudonyme de « Brian Kil ». Hernandez est originaire de l’État de Californie et a déjà été accusé et arrêté en 2017. Buster vient de plaider coupable pour 41 chefs d'accusation qui pourraient le voir passer le reste de sa vie en prison.

Selon des documents judiciaires, Hernandez a ciblé des centaines de jeunes filles mineures pendant plusieurs années par le biais de chantage et de menaces terroristes. En plus de Facebook, il aurait attiré l'attention des bureaux extérieurs du FBI dans de nombreux endroits. Il a pu échapper à la capture pendant si longtemps parce qu'il utilisait Tails. Le rapport note que le FBI avait déjà essayé de pirater l'ordinateur de Hernandez, mais avait échoué, car l'approche utilisée n'était pas adaptée à Tails. Alors, Facebook s’est donné pour tâche de le démasquer.

Selon le rapport, l’exploit développé par les ingénieurs de Facebook est un système automatisé qui signale les comptes récemment créés et qui envoient des messages à des mineurs. Mais ils ne l’ont pas fait tout seuls. En effet, pour parfaire sa stratégie, Facebook a payé une entreprise tierce de cybersécurité pour l’aider à trouver et à exploiter une faille “zero-day” dans Tails. Il s’agit d’un bogue dans le lecteur vidéo qui permet de trouver l’adresse IP réelle d’une personne regardant une vidéo. Tout ce qui restait à faire était d'appâter Hernandez et d’attendre qu’il morde à l’hameçon.

Le rapport estime qu’un intermédiaire a transmis l'outil au FBI, qui a ensuite obtenu un mandat de perquisition pour qu'une des victimes envoie un fichier vidéo modifié à Buster Hernandez. Par ailleurs, si l’intéressé est maintenant derrière les barreaux, de nombreuses questions subsistent. La première : la fin justifie-t-elle les moyens ? Si Facebook lui répond par oui, il n’en demeure pas moins qu’il vient d’ouvrir une boîte de Pandore. Il faut noter que la mise au point d'exploits dans le produit d'une autre entreprise pose également des problèmes éthiques évidents.

Cela est vrai en particulier pour Tails, qui a été conçu pour assurer la sécurité des utilisateurs, notamment des journalistes, des dénonciateurs, des victimes de harcèlement et des militants politiques. En plus, Facebook a agi discrètement sans avertir les développeurs de Tails par la suite de la faille de sécurité majeure. En temps normal, Facebook devrait le faire afin de permettre aux développeurs de Tails de développer un correctif pour le bogue. Selon le rapport, des sources ont déclaré que Facebook n’a pas jugé nécessaire de le faire en raison d’une prochaine mise à jour de Tails.

Cela dit, il n’y a rien qui prouve que les développeurs de Tails sont au courant de l'existence de la faille et ont prévu un correctif pour cela dans la prochaine mise à jour. Selon d’autres critiques sur la question, Facebook aurait potentiellement violé les normes de l'industrie de la sécurité tout en remettant une surveillance détournée à des agents fédéraux. Plus loin, l’on peut lire dans le rapport que plusieurs anciens et actuels employés de la firme étaient contre sa décision de remettre l’exploit aux forces de l’ordre. Facebook lui se défend en expliquant qu’il s’agissait d’un dernier recours.

« Il s’agissait d’un cas unique, car il [Buster Hernandez] utilisait des méthodes si sophistiquées afin de cacher son identité que nous avons dû prendre des mesures exceptionnelles et avons également travaillé avec des experts en sécurité pour aider le FBI à faire justice », a déclaré Facebook. Enfin, certains des messages qu’Hernandez a échangés avec ses victimes ont été rendus publics par la justice américaine et vous pouvez les consulter. Buster Hernandez se présentait à eux comme étant le pire cyberterroriste que le monde ait jamais connu.

Sources : Le rapport, les messages rendus publics

Et vous ?

Qu'en pensez-vous ?

Voir aussi

TAILS, l'OS Linux utilisé par Edward Snowden pour échapper à la NSA, il regroupe les outils nécessaires pour préserver son anonymat sur internet

Tails : la distribution Linux axée sur la sécurité est disponible en version 3.2 avec plusieurs changements et Linux 4.12

Sécurité : pourquoi l'OS open source Qubes OS a volé la vedette à Tails et est présenté par Edward Snowden comme le meilleur aujourd'hui

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de walfrat
Membre éprouvé https://www.developpez.com
Le 24/06/2020 à 13:59
On en revient toujours au même problème...

On veut l'anonymat pour éviter la "tyrannie" mais quand il s'agit de mettre la main sur des personnes qui en abusent, bien peu de personnes se sentent concernés tant qu'ils n'ont pas vécu (ou un de leur proche) une telle situation.
Par contre si on vient toquer à leur porte, je n'ai aucun doute qu'une grande majorité serait scandalisés que "tout ne soit pas mise en oeuvre pour mettre fin à leurs agissement".

Quand aux méthode du types "on peut les détecter automatiquement pour les bloquer ensuite", ça ne marche jamais comme ça, ça marche comme un jeu du chat et de la souris. Et passer son temps à mettre à jour des méthodes de pointes qui sont finalement contourner et recommencer, ça coûte très cher (genre que les GAFAs & co peuvent se le permettre, rip les sites de plus petites envergures) et l'entreprise n'est même pas censé pouvoir compter sur les forces de l'ordre ou leur transmettre des informations sur ce qu'ils se passent sur leur propre plateforme ? Tous ce que vont gagner ces personnes qui veulent me beurre et l'argent du beurre, c'est qu'un jour c'est qu'un pays, pour une raison justifié ou non, requalifie toutes ces plateformes n'ont pas d’hébergeur de contenu mais d'éditeur et là vous pouvez dire adieu aux médias sociaux tels que vous les avez connus.

J'imagine que ça fait discours bien à droite, mais qu'est ce que vous voulez, je trouve ça hypocrite qu'on fasse la morale sur la collaboration avec le méchant gouvernement tant que ça ne nous tombe pas dessus.

Dois-je supposer que ces gens manque d'empathie ?
0  0