PyPI Subpoenaed : Le gouvernement américain demande des données sur les utilisateurs
Le Python Package Index (PyPI), qui contient une vaste collection de plus de 450 000 paquets Python, est un dépôt très populaire parmi les développeurs. Ces paquets sont stockés sous forme d'archives appelées "sdlists" ou "wheels" précompilées.
Le ministère américain de la justice a adressé trois citations à comparaître à la Python Software Foundation (PSF), demandant la divulgation des données des utilisateurs de PyPI. Ces assignations portaient sur cinq noms d'utilisateur PyPI spécifiques, et les données demandées peuvent être résumées comme suit :
Demande de données PyPI
- Noms, y compris les noms d'abonnés, les noms d'utilisateurs et les noms d'écran.
- Adresses, y compris les adresses postales, résidentielles, professionnelles et électroniques.
- Enregistrements de connexion
- Les enregistrements des heures et des durées de session, ainsi que les adresses réseau temporairement attribuées, telles que les adresses de protocole Internet (IP), associées à ces sessions.
- Durée du service, y compris la date de début et le type de services utilisés.
- Numéros de téléphone ou d'instrument, y compris l'adresse IP (Internet Protocol) de l'enregistrement.
- Les moyens et la source de paiement de ces services, y compris tout numéro de carte de crédit ou de compte bancaire et les relevés de facturation.
- Enregistrements de tous les paquets Python Package Index (PyPI) téléchargés par les noms d'utilisateur spécifiés.
- Journaux de téléchargement IP de tous les paquets Python Package Index (PyPI) téléchargés par les noms d'utilisateur spécifiés.
Comme vous pouvez le constater, le ministère de la justice a demandé une liste importante de données sur les utilisateurs de PyPI. Après avoir consulté leur conseil juridique et décidé que les administrateurs de PyPI ne pouvaient rien faire d'autre, ils ont dû s'y conformer, car la FSP est soumise à la législation américaine. Bien entendu, il est difficile de résister à une assignation à comparaître. Afin d'améliorer encore la liberté, la sécurité et la confidentialité de leurs utilisateurs, PyPI et PSF vont revoir leurs procédures actuelles en matière de données et de confidentialité.
Conclusion
La Python Software Foundation va désormais élaborer de nouvelles politiques de conservation et de divulgation des données afin de répondre aux prochaines demandes de données émanant du gouvernement. Elle précisera également comment et pendant combien de temps les informations personnelles identifiables des utilisateurs seront conservées sur ses systèmes. Si vous souhaitez en savoir plus sur les informations fournies et les efforts de transparence de PyPI, vous pouvez lire leur article de blog.
Le programme ELS (Extended Long-term Support) de TuxCare pour Python 2.7 vous permet de continuer à utiliser votre logiciel existant comme vous le faisiez auparavant. Ce programme fournit une plateforme moderne qui répond à vos besoins de conformité tout en garantissant que vous recevez des mises à jour de sécurité essentielles qui traitent spécifiquement des vulnérabilités importantes et critiques.
Les sources de cet article comprennent un article de It's FOSS News.