Fort de plus de 200 membres dans 70 pays, le Consortium permis de révéler de nombreuses affaires, notamment des fraudes médicales et fiscales. La plus célèbre est certainement les "Panama Papers", qui a révélé l’existence de plusieurs centaines de milliers de sociétés-écrans permettant notamment de faire de l'évasion fiscale. Une fuite lors de l’échange de dossiers aussi sensibles aurait compromis non seulement la parution de ces informations dans les médias, mais également la sécurité des journalistes et des sources, a indiqué dimanche soir dans un communiqué l'Ecole polytechnique fédérale de Lausanne (EPFL).
Mandaté par l'ICIJ, le laboratoire SPRING de l’EPFL a mis au point un système de recherche et d'échange d’informations décentralisé entièrement anonyme, Datashare Network. Ce dernier sera présenté durant la conférence Usenix Security Symposium, qui se tiendra en ligne du 12 au 14 août prochain. L’anonymat constitue le point central du dispositif. Tant la recherche que l’échange d'informations peuvent se faire sans divulguer son identité ou le contenu des requêtes, ni à des collègues ni à l'organisation. Cette dernière est garante du bon fonctionnement du système mais n'a pas connaissance des échanges.
Les documents restent sur les serveurs ou ordinateurs des membres
Un système de gestion centralisé serait une cible trop évidente pour les pirates, note l'EPFL. L'organisation ne possédant pas de serveurs décentralisés dans diverses juridictions, les documents restent donc sur les serveurs ou ordinateurs des membres. Les utilisateurs enregistrent dans le système seulement quelques informations permettant aux autres de faire le lien avec leur enquête. Les recherches sont envoyées cryptées à tous les utilisateurs. Si des informations concordent, le demandeur reçoit une alerte et décide s’il souhaite entrer en communication et éventuellement échanger des informations.
"Étant donné les différents fuseaux horaires et le fait que certains membres n’ont accès à internet que quelques heures par jour, il était important que la recherche et les réponses puissent se faire de manière non synchronisée", souligne Carmela Troncoso, directrice du laboratoire à l'origine du système. Un autre système, de messagerie cette fois, également sécurisé et anonyme, permet ensuite des échanges bilatéraux.
Eléments sécurisés entièrement nouveaux
L’équipe de chercheurs a utilisé des éléments connus comme des mécanismes d'authentification et de communication anonymes qu'ils ont optimisés pour ce type d'utilisation, mais ils ont également développé des éléments sécurisés entièrement nouveaux. La sécurité du moteur de recherche non synchronisé est assurée par un nouveau protocole qui permet de rechercher efficacement dans de nombreuses bases de données sans augmenter le risque de fuites. Quant au serveur de messagerie, il utilise un très grand nombre de boîtes virtuelles utilisables une seule fois.
La collaboration du laboratoire avec l’organisation de journalistes a permis de dessiner un nouveau corpus de besoins, rarement étudiés dans les publications scientifiques. "Les contraintes spécifiques à ce développement ouvrent un nouvel espace de recherche présentant un gros potentiel pour d’autres domaines", conclut Carmela Troncoso.
ats/vic