Un chercheur en sécurité informatique a décidé de braver un tabou en publiant à visage découvert une liste de 10 millions de mots de passe associés à leurs identifiants, pour encourager la recherche dans le domaine. Il craint désormais des poursuites pénales.

Mark Burnett est un consultant en sécurité informatique, spécialisé dans la sécurisation des serveurs et réseaux sous Windows. Il est l'auteur de plusieurs livres, dont un publié en 2005, extrêmement bien noté sur Amazon, dédié aux "mots de passe parfaits". Parmi les promesses du livre : "voyez les mots de passe à travers les yeux des hackers et voyez à quel point il est facile de les compromettre".

Depuis, Burnett n'a cessé d'étudier les mots de passe et leur fragilité, et est devenu un véritable expert du sujet. C'est donc pour faire avancer les connaissances scientifiques dans le domaine qu'il a décidé de publier via BitTorrent une base de 10 millions de mots de passe et de noms d'utilisateurs en clair, contrevenant aux règles de prudence que s'imposent généralement les chercheurs en sécurité informatique. Traditionnellement, un hacker même bien intentionné ne publie jamais à visage découvert des couples de mots passe / identifiant en clair, tant les risques sont grands de pouvoir les exploiter en testant ces mêmes couples sur des sites internet stratégiques.

Le chercheur a donc accompagné la publication de sa base de données d'un long billet de blog dans lequel il prie le FBI de ne pas l'arrêter. Il explique ses craintes après la condamnation de Barrett Brown à 5 ans de prison, l'activiste et journaliste ayant été poursuivi entre autres pour avoir publié sur un canal IRC d'Anonymous des liens vers des bases de données de mots de passe (les charges sur ce point avaient toutefois été abandonnées, mais les faits avaient été rappelés lors du procès, ce qui a pu peser dans le verdict).

DES PRÉCAUTIONS PRISES

"Même si généralement les chercheurs ne publient que les mots de passe, je publie les identifiants avec les mots de passe", se justifie Burnett sur son blog. "L'analyse des identifiants et des mots de passe est un domaine qui a été grandement négligé et qui peut fournir autant d'informations que l'étude des mots de passe seuls". L'homme estime qu'il ne commet pas de délit pénal car sa publication n'est pas motivée par la volonté de frauder, mais uniquement "d'améliorer la recherche avec l'objectif de rendre l'authentification plus sûre et donc de protéger des fraudes et des accès non autorisés". Toutefois, il note avec craintes qu'un projet de loi anti-cybercriminalité de l'administration Obama supprimerait le critère de l'intention frauduleuse pour pénaliser toute publication pouvant être utilisée pour attaquer des systèmes de données.

Il assure également avoir pris des précautions pour éviter que les données puissent être utilisées à mauvais escient. Par exemple, les noms de domaine des adresses e-mail ont été retirés, les données provenant de multiples piratages réalisés ces dix dernières années ont été mélangées pour ne pas être liées à une seule source, ou encore, toutes les données nominatives ont été supprimées manuellement. De plus, le chercheur estime que les mots de passe ne sont plus fonctionnels dans la plupart des cas, car les piratages dont elles proviennent sont déjà anciens et ont déjà fait l'objet de signalements et mises en garde par les sites piratés.

"J'aurais pu sortir les données anonymement comme tout le monde le fait, mais pourquoi devrais-je le faire ? Je n'ai clairement aucune intention criminelle", écrit-il. "Il est au dessus de toute raison que n'importe quel chercheur, étudiant ou journaliste doive avoir peur des autorités de police qui sont censées nous protéger plutôt que d'essayer de trouver des manières d'utiliser la loi contre nous".

(illustration : CC Luciano Castillo)

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !