D'après ce que j'ai cru comprendre, ils ont mis en place un honeypot piégé avec du code qui faisait appel à au plug-in Flash. En gros, le suspect se pointait sur la page d'un service Tor caché *tenu par le FBI* et se présentant comme un site avec du contenu pédophile. Le suspect, même s'il ne savait pas que le site caché était tenu par les autorités, devait s'estimer en sécurité puisque sous Tor, sauf que l'applet Flash a court-circuité Tor et a directement communiqué l'adresse IP du connecté aux autorités (sinon, une attaque par cross-scripting reste possible mais un honeypot est nettement plus simple à mettre en œuvre donc j'imagine qu'ils n'ont pas du se casser la tête). À partir de là, il est très simple de l'identifier, d'où le decloaking. Ça aurait été la même chose avec un applet Java, c'est juste que Flash est bien plus répandu. C'est d'ailleurs clairement expliqué sur
https://www.torproject.org/download/dow ... en#warning , ce type de plug-ins peuvent révéler l'IP et le brouteur Tor les désactive. Apparemment, l'identification a eu lieu à une époque où Tor ne désactivait pas automagiquement Flash. Quant au second lien, c'est sûr que lire des PDF avec un applet Flash au lieu d'un lecteur local c'est tout de même très con donc le message que tu as indiqué me paraît pertinent.
Désormais, cette attaque via Flash ne marcherait plus mais le FBI s'amuse avec les failles zero-day des navigateurs pour avoir les adresses IP.
N'hésite pas à demander une précision si mon charabia n'est pas clair.