La chasse aux prédateurs sexuels en ligne ne date pas d’aujourd’hui et les forces de l’ordre sont souvent dépassées par les moyens utilisés par ses malfaiteurs. D’après un nouveau rapport, Facebook a aidé le FBI à mettre la main sur l’un d’entre eux grâce à un outil de piratage qu’il a développé. Par contre, si l’outil de Facebook a permis au FBI d’attraper le pédophile Buster Hernandez, elle soulève de nombreuses questions liées à l’éthique aux yeux de plusieurs personnes. La question est de savoir si Facebook a le droit de pirater des comptes d’utilisateurs de sa propre plateforme.
L’exploit développé par les ingénieurs de Facebook est dirigé contre la distribution GNU/Linux Tails. Pour rappel, Tails (The Amnesic Incognito Live System) est une distribution GNU/Linux basée sur la sécurité fondée sur Debian qui a pour but de préserver vie privée et anonymat. Toutes les connexions réseau transitent soit via le réseau Tor, soit sont bloquées. Ces derniers ont par la suite transmis le logiciel au FBI qui s’en est servi afin de traquer le prédateur d’enfants. Selon le rapport, Buster Hernandez est recherché depuis plusieurs années par les autorités.
Il est décrit comme étant un prédateur sexuel d’enfants insatiable. Sa principale occupation est d’utiliser régulièrement le réseau social pour extorquer des photos et des vidéos de jeunes femmes nues, ainsi que pour leur envoyer des menaces de viol, d’attentats à la bombe et de fusillades en masse dans des écoles. Il est présent sur Facebook sous le pseudonyme de « Brian Kil ». Hernandez est originaire de l’État de Californie et a déjà été accusé et arrêté en 2017. Buster vient de plaider coupable pour 41 chefs d’accusation qui pourraient le voir passer le reste de sa vie en prison.
Selon des documents judiciaires, Hernandez a ciblé des centaines de jeunes filles mineures pendant plusieurs années par le biais de chantage et de menaces terroristes. En plus de Facebook, il aurait attiré l’attention des bureaux extérieurs du FBI dans de nombreux endroits. Il a pu échapper à la capture pendant si longtemps parce qu’il utilisait Tails. Le rapport note que le FBI avait déjà essayé de pirater l’ordinateur de Hernandez, mais avait échoué, car l’approche utilisée n’était pas adaptée à Tails. Alors, Facebook s’est donné pour tâche de le démasquer.
Selon le rapport, l’exploit développé par les ingénieurs de Facebook est un système automatisé qui signale les comptes récemment créés et qui envoient des messages à des mineurs. Mais ils ne l’ont pas fait tout seuls. En effet, pour parfaire sa stratégie, Facebook a payé une entreprise tierce de cybersécurité pour l’aider à trouver et à exploiter une faille “zero-day” dans Tails. Il s’agit d’un bogue dans le lecteur vidéo qui permet de trouver l’adresse IP réelle d’une personne regardant une vidéo. Tout ce qui restait à faire était d’appâter Hernandez et d’attendre qu’il morde à l’hameçon.
Le rapport estime qu’un intermédiaire a transmis l’outil au FBI, qui a ensuite obtenu un mandat de perquisition pour qu’une des victimes envoie un fichier vidéo modifié à Buster Hernandez. Par ailleurs, si l’intéressé est maintenant derrière les barreaux, de nombreuses questions subsistent. La première : la fin justifie-t-elle les moyens ? Si Facebook lui répond par oui, il n’en demeure pas moins qu’il vient d’ouvrir une boîte de Pandore. Il faut noter que la mise au point d’exploits dans le produit d’une autre entreprise pose également des problèmes éthiques évidents.
Cela est vrai en particulier pour Tails, qui a été conçu pour assurer la sécurité des utilisateurs, notamment des journalistes, des dénonciateurs, des victimes de harcèlement et des militants politiques. En plus, Facebook a agi discrètement sans avertir les développeurs de Tails par la suite de la faille de sécurité majeure. En temps normal, Facebook devrait le faire afin de permettre aux développeurs de Tails de développer un correctif pour le bogue. Selon le rapport, des sources ont déclaré que Facebook n’a pas jugé nécessaire de le faire en raison d’une prochaine mise à jour de Tails.
Cela dit, il n’y a rien qui prouve que les développeurs de Tails sont au courant de l’existence de la faille et ont prévu un correctif pour cela dans la prochaine mise à jour. Selon d’autres critiques sur la question, Facebook aurait potentiellement violé les normes de l’industrie de la sécurité tout en remettant une surveillance détournée à des agents fédéraux. Plus loin, l’on peut lire dans le rapport que plusieurs anciens et actuels employés de la firme étaient contre sa décision de remettre l’exploit aux forces de l’ordre. Facebook lui se défend en expliquant qu’il s’agissait d’un dernier recours.
« Il s’agissait d’un cas unique, car il [Buster Hernandez] utilisait des méthodes si sophistiquées afin de cacher son identité que nous avons dû prendre des mesures exceptionnelles et avons également travaillé avec des experts en sécurité pour aider le FBI à faire justice », a déclaré Facebook. Enfin, certains des messages qu’Hernandez a échangés avec ses victimes ont été rendus publics par la justice américaine et vous pouvez les consulter. Buster Hernandez se présentait à eux comme étant le pire cyberterroriste que le monde ait jamais connu.
source : 01net