Le maître-chanteur de la coopérative laitière n’a pas pu avoir l’argent du beurre
Un anonymiseur, un service permettant de surfer sur internet tout en restant anonyme, a permis l’arrestation d’un maître-chanteur, malgré la promesse faite à ses utilisateurs de ne révéler leur identité sous aucun prétexte. Un autre service similaire vient d’obtenir le droit de ne pas surveiller ses utilisateurs, après y avoir été illégalement contraint par les autorités.
La police d’Utrecht, aux Pays-Bas, a arrêté le 3 juillet dernier, avec l’aide du FBI américain, un homme de 45 ans accusé de vouloir faire chanter, depuis un an, la société Campina, une coopérative laitière internationale, selon la revue Netkwesties.
Surnommé le "terroriste du dessert", l’individu, dont l’identité n’a pas été révélée, a reconnu avoir déjà tenté à deux reprises de faire chanter d’autres sociétés. Cette fois, il avait placé du poison agricole dans des produits lactés de Campina, qu’il avait redéposés dans un supermarché. L’homme menaçait de recommencer faute de recevoir la somme de 200 000 euros.
Son avocat avance, selon
Expatica, un site d’information consacré aux expatriés, qu’il n’a jamais voulu faire de mal à personne, qu’il avait préalablement testé ledit poison sur son bouc et que son objectif n’était que financier.
La Golf cachait quelque chose
Employé par une société allemande de fabrication de puces électroniques, l’individu avait déployé tout un arsenal censé garantir son anonymat. Il avait fait parvenir à Campina une disquette sur laquelle se trouvait un logiciel de stéganographie. Ce genre de programmes permet de camoufler des données dans un fichier.
En l’occurrence, le maître-chanteur avait demandé à Campina d’inscrire, dans la photo d’une Volkswagen Golf rouge d’occasion, le mot de passe et la copie de la piste magnétique de la carte bancaire du compte crédité des 200 000 euros.
La photo devait ensuite être placée, le 1er juillet dernier, dans les petites annonces du site web Autotelegraaf, de sorte qu’il puisse la récupérer, recopier la piste magnétique sur une carte vierge, et aller retirer son argent.
Le 2 juillet, la police néerlandaise demandait l’aide du FBI : la photo avait en effet été téléchargée via un anonymiseur, Surfola.com, situé en Californie. Censé garantir l’anonymat de ses utilisateurs en masquant leur numéro IP, ce service permit surtout aux forces de l’ordre de pouvoir associer une adresse e-mail au maître-chanteur.
Surfola propose en effet à ses utilisateurs de s’inscrire afin de pouvoir utiliser ses services. Sa charte de protection de la vie privée avance que les noms, adresses e-mail et physiques de ses utilisateurs ne seront jamais révélés à des tierces parties sans leur autorisation, et ce "quelqu’en soit la raison". Ses conditions d’utilisation précisent cela dit qu’il est interdit de se servir de Surfola pour transmettre des données illégales.
Si l’on ne sait pas exactement comment le FBI a procédé pour obtenir l’information, l’e-mail émanant d’un fournisseur d’accès internet néerlandais permit à la police d’Utrecht d’y associer un nom. L’individu fut interpellé le 3 juillet alors qu’il tentait de récupérer sa rançon à un distributeur bancaire.
Les anonymiseurs sous la pression des autorités
Surfola n’est pas le seul anonymiseur à subir la pression des autorités. L’ONG European Digital Rights, qui relate l’affaire Campina dans sa dernière newsletter, rapporte qu’un autre anonymiseur, le Java Anonymous Proxy (JAP, ou AN.ON), logiciel développé par des universitaires allemands en collaboration avec l’instance de protection de la vie privée du Schleswig-Holstein, est au coeur d’une bataille juridico-policière.
Mi-août, on apprenait que l’équipe d’AN.ON avait dû installer une porte dérobée (ou "backdoor"), à la demande des autorités, afin de placer sous surveillance les individus se connectant à un site web non-identifié.
Selon le quotidien The Register, les utilisateurs d’AN.ON avaient été invités, en raison d’un problème technique, à mettre à jour le logiciel. Il s’agissait en fait d’installer la version "backdoorée".
Vérifiant le code source, un utilisateur du logiciel y a alors trouvé la mention "Loading Crime Detection Data". Cette découverte a poussé les développeurs d’AN.ON à reconnaître qu’ils avaient effectivement été amené à collaborer avec les forces de l’ordre, à l’insu des
utilisateurs.
Une cour d’appel allemande vient d’annuler ce placement sous surveillance, au motif que cela constituait une violation de la vie privée des utilisateurs d’AN.ON. Un prestataire de services internet ne serait en effet tenu de confier aux autorités que les seules données de connexion qu’ils sont légalement tenus de conserver. Or, AN.ON ne surveille pas, par défaut, ce que font ses utilisateurs.