Traduction de l'article du journaliste Yasha Levine (suivi de son 1er appendice), auteur de Surveillance Valley, révélant que le projet Tor, qui est présenté comme un moyen permettant de garantir l'anonymat sur le net, est financé par l'agence gouvernementale BBG (Brodcasting Board of Governors, un paravent de la CIA) et coopère avec les agences de renseignement américaines. Il était bien connu que le projet Tor avait été financé à l'origine par l'U.S. Navy (et était donc un projet du DARPA, le département de R&D de l'armée américaine — voir à ce sujet l'article fascinant de Nafeez Ahmed, Comment la CIA créa Google [traduction française / v.o. en anglais]). Les recherches de Levine dévoilent comment la direction de Tor collabore activement avec les diverses branches du gouvernement américain.

« Le 22-23 oct., j'ai rencontré environ 50 agents du FBI et du Département de la Justice à San Diego. Le contexte était une conférence qu'ils dirigeaient, intitulée « industrie et gouvernement », née des fiascos du CALEA [ndt: loi encadrant les interceptions de télécommunications par les forces de l'ordre américaines] / des interceptions légales / des clés de chiffrement. À présent, ils rassemblent deux fois par an des gens venus de l'industrie pour leur parler le plus tôt possible du fonctionnement des forces de l'ordre et de quelles fonctionnalités elles pourraient bénéficier, de sorte que l'industrie puisse installer des backdoors dès les débuts du processus de création, lorsque le coût est encore peu élevé. »

The Tor Project, une organisation privée à but non lucratif, pierre d'angle du dark web à laquelle les activistes de la vie privée vouent un véritable culte, est financée presque à 100 % par le gouvernement américain.

Durant l'écriture de mon livre Surveillance Valley, j'ai pu accéder, via une demande FOIA, à environ 2500 pages de correspondance — comprenant des contrats, des stratégies, des budgets, et des mises à jour de statut — entre le Tor Project et son principal financier, une organisation dérivée de la CIA aujourd'hui connue sous le nom de Broadcasting Board of Governors (BBG), qui supervise les opérations de propagande américaines à l'étranger telles que Radio Free Asia et Radio Free Europe.

(L'ensemble des documents est disponible ici)

J'ai obtenu les documents en 2015. À cette époque, j'avais déjà passé deux ans à rendre compte des liens profondément contre-nature entretenus par Tor avec la branche du gouvernement américain consacrée aux changements de régimes. En suivant la piste de l'argent, je découvris que Tor n'était pas une organisation issue de la base. Je pus démontrer qu'en dépit de son vernis d'indépendance radicale et de ses prétentions à aider ses utilisateurs à se protéger de la surveillance gouvernementale sur internet, Tor était financé presque à 100 % par trois agences de la sécurité nationale américaine : la Navy, le département d’état et le BBG. La piste de l’argent a révélé que Tor n’était pas une organisation issue de la base, mais un contractant militaire disposant de son propre numéro de contractant auprès du gouvernement américain. En d’autres termes : il s’agissait d’une extension privatisée du gouvernement qu’elle prétendait combattre par ailleurs.

Ce fut une révélation stupéfiante.

Pendant des années, le Tor Project — ainsi que d’autres outils crypto-gouvernementaux tels que Signal — a été traité de façon quasi religieuse par la communauté militant en faveur de la vie privée, et considéré comme le seul moyen de protéger la population contre l’espionnage pratiqué par le gouvernement sur internet.

L’Electronic Frontier Foundation a considéré que Tor était l’équivalent digital du Premier Amendement. L’ACLU l’a soutenu. Fight for the Future, le groupe d’activistes branchés de la Silicon Valley, a déclaré que Tor était « immunisé contre la NSA ». Edward Snowden a déclaré qu’il s’agissait du type de technologie issue de la base qui pouvait vaincre la surveillance en ligne exercée par le gouvernement, et a recommandé à ses suiveurs de l’utiliser. Des journalistes de premier plan de Wired, Vice, The Intercept, The Guardian et de Rolling Stone — parmi lesquels Laura Poitras, Glenn Greenwald et Andy Greenberg — ont contribué à alimenter le statut mythique de Tor comme celui d’une organisation rebelle opposée à l’état. Même Daniel Ellsberg, le lanceur d’alerte légendaire, était convaincu que Tor était vital pour le futur de la démocratie. Tous ceux qui critiquaient ce point de vue et pointaient du doigt le soutien massif apporté à Tor par le gouvernement étaient attaqués, ridiculisés, diffamés et contraints au silence. J’en sais quelque chose, puisque c’est ce que les soutiens de Tor ont essayé de me faire.

Mais les faits étaient têtus.

Les premiers éléments que j’ai pu rassembler au cours de mon enquête ne laissaient que peu de place au doute quant à la véritable nature de Tor, celle d’une arme utilisée par le gouvernement américain dans le cadre de sa politique étrangère. Mais la caisse de documents FOIA que je reçus à propos du BBG permit d’amener ces éléments de preuve à un tout autre niveau.

Pourquoi le gouvernement américain financerait-il un outil qui limiterait son propre pouvoir ? La réponse, comme je l’ai découvert, était que Tor ne menaçait pas la puissance américaine. Il l’augmentait.

Les documents FOIA montraient un niveau de coopération difficilement croyable entre le gouvernement fédéral, le Tor Project et des membres éminents du mouvement du mouvement pour la vie privée et la liberté sur internet.

Les documents montraient des employés de Tor prenant des ordres de leurs référents au gouvernement américain, dont des stratégies pour déployer leur outil censé garantir l’anonymat dans des pays que les États-Unis tentaient de déstabiliser : la Chine, l’Iran, le Viet-Nâm, la Russie. Ils montraient des réunions où l’on discutait de la meilleure tactique à adopter pour influencer la couverture médiatique et contrôler la mauvaise presse. On y trouvait des mises à jour mensuelles qui décrivaient des réunions et des sessions de formation avec la CIA, la NSA, le FBI, le département de la justice, et le département d’état. Ils révélaient les plans pour faire transiter le financement gouvernemental permettant de faire fonctionner les nœuds « indépendants » de Tor. Plus choquant encore, les documents FOIA mettaient en doute le serment professé par Tor selon lequel il n’installerait jamais de backdoor qui donnerait au gouvernement un accès privilégié au réseau Tor. (Voir plus bas)

Les documents montraient sans ambiguïté que Tor n’est absolument pas indépendant. L’organisation ne pouvait pas faire tout ce qu’elle voulait, et était strictement encadrée par des obligations contractuelles restrictives. Elle était également tenue de transmettre des rapports mensuels sur son activité au gouvernement américain, ce qui permettait à ce dernier de savoir exactement ce que développaient les employés de Tor, où ils allaient et qui ils rencontraient.

J’ai utilisé nombre de ces documents dans mon livre Surveillance Valley pour raconter l’histoire de l’évolution de la technologie concernant la vie privée, devenue un instrument de puissance pour l’armée et les multinationales. Mais aujourd’hui, je vais encore plus loin. Je publie l’intégralité des documents FOIA sur Tor et le BBG. J’espère que les journalistes et les historiens vont se servir de ces informations pour étudier les relations entre la technologie sur la vie privée, le gouvernement et la domination économique exercée par la Silicon Valley.

À cette occasion, je vais effectuer une petite vérification des faits concernant les liens entre Tor et le gouvernement, en me fondant sur ces documents. Je publierai chaque semaine un « fact-check », en commençant par celui-ci :

Fait n°1 concernant Tor : Tor renseigne secrètement le gouvernement sur ses failles de sécurité avant d’en avertir le public

Bien que les documents ne montrent pas que les employés de Tor installent des backdoors dans leur logiciel, ils révèlent néanmoins qu’ils n’ont pas de scrupules à informer secrètement le gouvernement fédéral sur ses failles de sécurité avant d’en avertir le public, ce qui donne l’opportunité au gouvernement d’exploiter ces failles bien avant que les utilisateurs de Tor n’en soient informés.

Prenons l’exemple de l’incident de la « normalisation de TLS ».

En 2007, le développeur de Tor Steven Murdoch rédigea un rapport sur les problèmes et les failles de sécurité en lien avec la manière dont Tor encryptait sa connexion internet. Il s’avéra que cette connexion se faisait d’une façon tout à fait particulière, ce qui faisait que le trafic issu de l’utilisation de Tor se distinguait de tout le reste, et rendait ainsi aisément identifiables les utilisateurs de Tor, et permettait donc de les isoler au milieu du reste de l’activité sur internet. Cette particularité d’encryptage ne permettait pas seulement à des pays étrangers de facilement bloquer Tor (à l’époque, les efforts de Tor étaient principalement concentrés sur la Chine et l’Iran), mais cela permettait en théorie d’isoler et d’identifier une cible plus aisément pour tous ceux qui souhaitaient espionner et cracker le trafic sur Tor — que ce soit la NSA, le FBI ou le GCHQ [ndt : le service de renseignement électronique britannique].

Dans cet email adressé au cofondateur de Tor, Roger Dingledine, Murdoch suggérait qu’ils devraient cacher au public l’existence de cette faille de sécurité, parce que la révéler publiquement sans avoir au préalable trouvé une solution aurait pu permettre à un hacker d’exploiter cette faille : « Il serait bon de différer toute annonce du type : ‘‘ cette attaque est sérieuse ; j’espère que personne ne s’en apercevra avant que nous ayons trouvé une solution’’. »

Pour le moment, ce document est privé, mais il devra finalement être rendu public, partiellement ou entièrement. Je laisse cette discussion pour une date ultérieure, mais mon sentiment est essentiellement que bien que nous ne devrions pas nous en tenir au secret, il serait bon de différer toute annonce du type : ‘‘ cette attaque est sérieuse ; j’espère que personne ne s’en apercevra avant que nous ayons trouvé une solution’’. [Note manuscrite : « Ne pas rendre publique une faille de sécurité connue, tout en en informant le BBG »]

Dingledine était d’accord. Il n’a pas averti le public. Mais il n’a pas non plus gardé cette information confidentielle. Bien au contraire, il a débriefé ses soutiens au BBG, une agence issue de la CIA et qui continue à être impliquée dans des manœuvres de tentatives de changements de régime à travers le monde (voir mon livre Surveillance Valley pour mon enquête sur cette histoire). Roger a transmis cet échange avec Steven au BBG, laissant clairement sous-entendre qu’ils ne résoudraient pas cette faille de sécurité de sitôt, et que le public serait maintenu dans l’ignorance. Il termine son email par un sourire : « :) ».

Salut Kelly, Ken,

Voici un peu de lecture pour vos heures perdues. Ce n’est qu’un premier jet, mais je pense que c’est un bon début. Les prochaines étapes consisteront à déterminer exactement ce que nous devrons *faire* — puis le faire. :)

Roger

Comme c’est mignon.

Donner des tuyaux sur une faille de sécurité à une agence de renseignement fédérale ? Peu importe l’ampleur de cette faille, il faudrait être naïf pour croire que le gouvernement américain ne chercherait pas à l’exploiter.

Je ne sais pas pour vous, mais je serais prêt à parier que la plupart des utilisateurs de Tor ne seraient pas particulièrement ravis d’apprendre que c’est ce qui se passe au Tor Project. Je pense qu’ils verraient là une trahison totale de la confiance qu’ils ont placée en eux. Pour eux, Tor n’est pas censé prévenir le gouvernement américain avant tout le monde sur ses failles de sécurité. Il est censé se battre dans l’autre camp : celui d’une organisation technologique privée, issue de la base, qui devrait se rebeller contre les gouvernements les plus puissants et se dresser contre les agences de renseignement à travers le monde. Telle est la mystique qui entoure Tor, et sa promesse. C’est la raison pour laquelle elle est soutenue par l’Electronic Frontier Foundation et Edward Snowden, le lanceur d’alerte le plus célèbre de ces dernières années. Certains, comme Ross Ulbricht, le fondateur du site Silk Road, ont joué leur vie sur leur croyance en l’indépendance de Tor et sa nature anti-étatique. Ce n’est peut-être pas une surprise si Ulbricht va désormais passer le reste de sa vie derrière les barreaux.

Ce bref échange (et il y en a beaucoup d’autres sur toutes sortes de sujets) vous donne un aperçu sur les relations amicales entretenues en arrière-plan par Tor avec le gouvernement américain. Tor ne considère pas le BBG comme une menace. Comment le pourrait-il ? Le BBG est un soutien financier majeur du Tor Project, ayant offert à ce dernier pour 6 millions de dollars de contrats entre 2007 et 2015. Le BBG est un ami et une source de revenus — et la direction de Tor ne demande qu’à le satisfaire. Et bien entendu, le BBG n’est pas le seul ami de Tor au sein du gouvernement américain : l’U.S. Navy et le département d’état ont eux aussi injecté des millions de dollars dans le projet, et continuent de le faire jusqu’à aujourd'hui.

Donc... Combien de temps a-t-il fallu à Tor pour révéler ses failles de sécurité au public ?

C’est difficile à dire. Mais en examinant la liste d’emails « tor-dev », il s’avère que le document transmis par Roger au BBG en 2007 n’a été porté à l’attention du public qu’en 2011. Soit quatre ans après que le gouvernement fédéral en ait été informé !

Note : il convient de se rappeler que la correspondance entre Tor et le BBG ne révèle qu’une portion des interactions entre Tor et le gouvernement fédéral. La plus grande partie du financement des organisations consacrées à la liberté sur internet se fait sous l’égide de Radio Free Asia, une compagnie privée liée au gouvernement américain, qui prétend ne pas entrer dans le cadre de la loi sur la liberté de l’information, et qui refuse donc de se soumettre aux demandes FOIA des journalistes. Nous ne savons pas non plus ce que Tor révèle à ses deux autres principaux soutiens financiers, le département d’état et l’U.S. Navy. Et nous ignorons tout autant ce que Roger Dingledine ou d’autres membres de la direction de Tor peuvent révéler au cours de leurs réunions régulières avec les forces de l’ordre et les agences de renseignement. Et ces réunions sont très fréquentes.