Mark Burnett est un consultant en sécurité informatique, spécialisé dans la sécurisation des serveurs et réseaux sous Windows. Il est l'auteur de plusieurs livres, dont un publié en 2005, extrêmement bien noté sur Amazon, dédié aux "mots de passe parfaits". Parmi les promesses du livre : "voyez les mots de passe à travers les yeux des hackers et voyez à quel point il est facile de les compromettre".
Depuis, Burnett n'a cessé d'étudier les mots de passe et leur fragilité, et est devenu un véritable expert du sujet. C'est donc pour faire avancer les connaissances scientifiques dans le domaine qu'il a décidé de publier via BitTorrent une base de 10 millions de mots de passe et de noms d'utilisateurs en clair, contrevenant aux règles de prudence que s'imposent généralement les chercheurs en sécurité informatique. Traditionnellement, un hacker même bien intentionné ne publie jamais à visage découvert des couples de mots passe / identifiant en clair, tant les risques sont grands de pouvoir les exploiter en testant ces mêmes couples sur des sites internet stratégiques.
Le chercheur a donc accompagné la publication de sa base de données d'un long billet de blog dans lequel il prie le FBI de ne pas l'arrêter. Il explique ses craintes après la condamnation de Barrett Brown à 5 ans de prison, l'activiste et journaliste ayant été poursuivi entre autres pour avoir publié sur un canal IRC d'Anonymous des liens vers des bases de données de mots de passe (les charges sur ce point avaient toutefois été abandonnées, mais les faits avaient été rappelés lors du procès, ce qui a pu peser dans le verdict).
DES PRÉCAUTIONS PRISES
"Même si généralement les chercheurs ne publient que les mots de passe, je publie les identifiants avec les mots de passe", se justifie Burnett sur son blog. "L'analyse des identifiants et des mots de passe est un domaine qui a été grandement négligé et qui peut fournir autant d'informations que l'étude des mots de passe seuls". L'homme estime qu'il ne commet pas de délit pénal car sa publication n'est pas motivée par la volonté de frauder, mais uniquement "d'améliorer la recherche avec l'objectif de rendre l'authentification plus sûre et donc de protéger des fraudes et des accès non autorisés". Toutefois, il note avec craintes qu'un projet de loi anti-cybercriminalité de l'administration Obama supprimerait le critère de l'intention frauduleuse pour pénaliser toute publication pouvant être utilisée pour attaquer des systèmes de données.
Il assure également avoir pris des précautions pour éviter que les données puissent être utilisées à mauvais escient. Par exemple, les noms de domaine des adresses e-mail ont été retirés, les données provenant de multiples piratages réalisés ces dix dernières années ont été mélangées pour ne pas être liées à une seule source, ou encore, toutes les données nominatives ont été supprimées manuellement. De plus, le chercheur estime que les mots de passe ne sont plus fonctionnels dans la plupart des cas, car les piratages dont elles proviennent sont déjà anciens et ont déjà fait l'objet de signalements et mises en garde par les sites piratés.
"J'aurais pu sortir les données anonymement comme tout le monde le fait, mais pourquoi devrais-je le faire ? Je n'ai clairement aucune intention criminelle", écrit-il. "Il est au dessus de toute raison que n'importe quel chercheur, étudiant ou journaliste doive avoir peur des autorités de police qui sont censées nous protéger plutôt que d'essayer de trouver des manières d'utiliser la loi contre nous".
(illustration : CC Luciano Castillo)
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
