Le FBI a piraté 8000 ordinateurs dans 120 pays sur la base d’un unique mandat

En janvier, Motherboard avait rapporté que le FBI s'était engagé dans une opération de piratage d'une ampleur sans précédent. Sur la base d'un seul mandat, l'agence avait en effet déployé un malware sur plus d'un millier d'ordinateurs, dont les utilisateurs avaient supposément visité un site pornographique accessible sur le dark web. Nous en savons désormais davantage sur cette opération, dont la magnitude était encore plus importante que prévu.

En tout, le FBI aurait obtenu 8 000 adresses IP, et piraté des ordinateurs dans 120 pays différents, selon le procès-verbal d'une audience préliminaire sur une affaire connexe.

Ces chiffres témoignent d'un fait certain : il s'agit de la plus grande opération de piratage réalisée dans un cadre légal à ce jour. Elle nous montre, de la manière la plus concrète possible, à quoi pourrait ressembler l'avenir du crime et de l'enquête policière sur le dark web dans un futur proche. Ces informations nous parviennent au moment précis où les États-Unis s'apprêtent à introduire des changements de dispositions légales permettant aux juges d'autoriser le piratage de masse sur quelque ordinateur que ce soit, partout dans le monde.

« Nous n'avions jamais vu, dans toute l'histoire des États-Unis, d'affaire où un unique mandat donnerait autant de pouvoir au FBI » a déclaré Colin Fieman, avocat commis d'office, lors d'une audience s'étant déroulée à la fin du mois d'octobre. Fieman représente plusieurs individus touchés par le piratage en question.

L'opération du FBI a été réalisée dans le cadre d'une enquête sur le site de pédopornographie Playpen. En février 2015, le FBI a saisi le site, mais au lieu de le mettre hors ligne, l'agence a fait héberger Playpen sur un serveur du gouvernement pendant 13 jours. Même s'ils avaient le contrôle administratif du site, les enquêteurs n'ont pas pu voir l'adresse IP réelle des visiteurs de Playpen, car les utilisateurs s'y connectent généralement via le réseau Tor.

Afin de contourner cet anonymat, le FBI a donc déployé ce qu'il appelle une technique d'investigation sur réseau (NIT), ou plus simplement, un malware. Le logiciel malveillant, qui exploitait une brèche du navigateur Tor, permettait de récupérer l'adresse IP réelle de quiconque avait visité des threads pédopornographiques sur Playpen.

Selon les compte-rendu des tribunaux, le FBI aurait ainsi obtenu plus de 1 000 adresses IP d'utilisateurs prétendument américains. Au cours de l'année précédente, Motherboard a également constaté que le FBI avait piraté des ordinateurs en Australie, en Autriche, au Chili, en Colombie, au Danemark, en Grèce et probablement au Royaume-Uni, en Turquie et en Norvège.

Il ne s'agit pourtant là que d'une partie des pays dans lesquels le FBI a piraté des ordinateurs. Selon le nouveau compte-rendu, le FBI aurait pourtant couvert plus de 120 pays.

« Le fait qu'un seul juge soit en mesure d'autoriser le FBI à pirater l'ordinateur de 8 000 personnes dans 120 pays est proprement terrifiant », nous confie Christopher Soghoian, responsable de la technologie auprès de l'Union américaine des libertés civiles (ACLU) au téléphone. (Soghoian a témoigné pour la défense dans l'affaire Playpen).

Étrangement, le FBI aurait également piraté ce qui semble être un « fournisseur satellite », selon le procès-verbal.

« Apparemment, cette affaire s'étend désormais à l'espace » a déclaré Fierman lors de l'audience.

Le ministère de la Justice américain s'est engagé dans une lutte acharnée ces derniers mois, notamment pour justifier la validité du mandat utilisé dans le cadre de l'opération du FBI. Selon un compte-rendu du ministère de la Justice, pas moins de quatorze décisions judiciaires ont conclu que le mandat n'avait pas été délivré conformément à l'article 41 des Règles fédérales de procédure pénale, qui régit la délivrance des mandats de perquisition.

En effet, le juge qui a signé le mandat, Theresa C. Buchanan du district de l'Est de la Virginie, n'avait pas de pouvoir d'autoriser une enquête dont l'étendue dépasse celle de son propre district. Dans quatre cas, les tribunaux ont donc décidé de nier la validité des preuves obtenues par le malware.

Cependant, l'article 41 va subir des changements qui prendront effet le 1er décembre 2016 : les juges pourront alors autoriser des mandats donnant des pouvoirs étendus au FBI, comme dans le cas Playpen.

Ces changements « donnent aux agents des services de police un pouvoir abusif pour mener des opérations de piratage à l'intérieur et à l'extérieur des États-Unis » confie Ahmed Ghappour, professeur assistant à l'UC Hastings College of Law et auteur de l'article « Searching Places Unknown: Law Juridiction Jurisdiction on the Dark Web » à Motherboard, par téléphone.

Il ajoute : « Avec les modifications apportées à l'article 41, cet abus de pouvoir va s'imposer comme une nouvelle norme. »

« Nous pouvons nous attendre à ce que de futures opérations d'une échelle similaire soient conduites non seulement pas le FBI, mais également par d'autres organes fédéraux, étatiques et locaux chargés de l'application de la loi », ajoute-t-il.

De fait, Motherboard avait rapporté en août que les autorités australiennes avaient piraté l'ordinateur de suspects sur le territoire américain. Pour le moment, nous ne savons pas si cette initiative avait été autorisée par mandat.

Le ministère de la Justice américain n'a pas été en mesure de répondre à nos questions dans des délais suffisamment brefs. Cependant, il a publié un billet de blog ce lundi justifiant les changements de l'article 41.

« Nous estimons que la technologie ne devrait pas ménager une zone de non droit simplement parce qu'une règle procédurale n'a pas été suivie dans les temps », a déclaré le procureur général adjoint Leslie R. Caldwell, de la Division criminelle.

Le FBI a refusé de commenter.

Selon nos informations, les techniques de piratage de masse sont pour le moment limitées aux enquêtes sur la pédopornographie. Mais avec les modifications apportées à l'article 41, les chances que les autorités américaines les appliquent à des enquêtes sur des crimes de différente nature sont grandes.

« C'est là la vraie question : vont-ils mettre en place des attaques watering hole ? Vont-ils généraliser les techniques d'investigation sur réseau ? Vont-ils espionner les utilisateurs de the Silk Road, de sites marchands spécialisés dans la vente de drogues ? » se demande Ahmed. « Nous n'en savons rien. »