Le créateur de Nmap s'explique sur des injonctions du FBI

Sur la piste d'un pirate informatique, la police fédérale américaine a essayé d'obtenir, à plusieurs reprises, les logs de connexion du site Insecure.org. Son auteur, au titre du respect de la vie privée, a jusqu'ici toujours refusé.

Le développeur du logiciel Nmap a fait l'objet de plusieurs demandes d'informations de la police fédérale américaine. Elle cherche à récupérer les logs de connexion de son site Insecure.org. Nmap est un outil de détection des vulnérabilités d'un réseau, devenu presque incontournable dans le monde de la sécurité informatique.

D'origine russe, Fyodor, tel qu'il se fait appeler sur la "scène" des hackers, s'est expliqué le 23 novembre sur l'origine et les conséquences de ces réquisitions policières. Il s'est exprimé dans "Npam-hackers", une liste de discussion qu'il a lui-même montée pour informer les très nombreux utilisateurs de son logiciel.

«Avec une certaine régularité cette année», avance Fyodor, «des agents du FBI aux quatre coins du pays m'ont demandé de leur fournir des données de connexion d'Insecure.org. Généralement, ils ne me donnent aucun motif, mais ils semblent toujours s'intéresser à un pirate spécifique, dont ils pensent qu'il pourrait avoir visité la page [de téléchargement] de Nmap à un certain moment». «Mais jusqu'ici», écrit-il, «je ne leur ai jamais rien fourni». «Parfois, ils ont formulé leur demande trop tard et les données en question avaient déjà été effacées de nos serveurs, d'après notre politique en matière de rétention des données. Dans d'autres cas, ils n'ont pas formulé leur demande proprement (*), et n'ont pas donné suite lorsque je leur ai demandé d'en rédiger une dans les formes.»

«Tout le monde peut se demander s'il est bien ou mal de collaborer avec le FBI», s'interroge-t-il. «N'oublions pas qu'ils peuvent rechercher des spammeurs, des escrocs à l'extorsion électronique, des gamins qui s'amusent à saturer les réseaux par déni de service distribué (DDoS kiddies)... Pour cela, je leur souhaite plein de succès. Nmap a été conçu pour aider la sécurité - les criminels et les tarés du spam me font honte!»

En règle générale, avance-t-il, il fait tout son possible pour s'opposer à des demandes de logs trop larges, «comme par exemple lorsqu'ils me les demandent sur un mois complet». «Protéger votre vie privée est important pour moi. Reste que tous les utilisateurs de Nmap doivent être assez intelligents pour savoir que toute votre activité sur les réseaux laisse des traces. Je ne suis pas le seul à recevoir ces réquisitions - grands fournisseurs internet et hébergeurs en réceptionnent plein tous les jours.»

(*) Le document administratif réclamé par le FBI est un supbonea, traduit en français par "mandat de perquisition" ou "citation à comparaître". Dans ce cas d'espèce, c'est l'équivalent d'une "réquisition de données de connexion" ou "d'identification d'un abonné" que la police judiciaire délivre aux FAI pour connaître soit la liste des adresses IP s'étant connecté sur un serveur particulier à un certain moment, soit l'identité d'un abonné ayant utilisé telle adresse IP à un moment précis.


Posté le 30 novembre 2004 par Marc - Source ZDNet