Freenet: risque de backdoor [EDIT]

ÉDITÉ le 28/10, voir à la fin

Ça fait quelques temps que j’ai perdu le fil au sujet de Freenet, à tel point que j’ai dû lancer le script de mise à jour manuelle car, se faisant rejeter par les nœuds, le mien ne pouvait pas récupérer l’archive de Freenet.

Bref, le bookmark « Toad » signale une mise à jour, je me dis « cool » parce que c’est pas souvent que Matthew « Toad » Toseland, développeur principal de Freenet, publie un billet dans son flog. Il fait une copie sur le web. Bref le billet date du 11 septembre, il détaille certaines vulnérabilités trouvées sur Freenet et les moyens envisagés (ou déjà mis en place) pour solidifier ça. À la fin il a un mot sur le cursus d’études qu’il va suivre, comme quoi il bossera qu’à temps partiel jusqu’en janvier, comme quoi il regrette que Freenet soit utilisé par certaines personnes mais qu’en même temps cela prouve que Freenet peut aider ceux qui sont réellement mis en danger pour leur liberté d’expression, que ça n’est pas gagné quand même la NASA peut se voir censurer une vidéo qu’elle a publié à cause d’une notif’ Youtube,..

Et là, les dernières lignes, en gras:

PS if you can run the build verification scripts (in the github maintenance scripts repository), please do! Under UK law likely to be passed soon I could be forced to distribute corrupted builds, and on penalty of 2 years in prison not be allowed to tip anyone off about it.

En clair: selon la loi anglaise susceptible de passer prochainement, il pourrait être forcé à distribuer des exécutables incluant des backdoors (portes dérobées), et risquerait 2 ans de prison s’il révélait l’avoir fait.

….

…super.

Il serait peut-être temps que Freenet se dote d’une équipe de développeurs anonymes et internationaux. Rappelons qu’un nombre croissant de chinois dépendent de la robustesse de Freenet: une backdoor (même occidentale, détournée) pourrait signer leur arrêt de mort. Et, non, un script vérificateur de corruptions ne suffit pas: une backdoor peut être tout simplement noyée dans le code source. 👿


EDIT:

[email protected],cuIx2THw7G7cVyh9PuvNiHa1e9BvNmmfTcbQ7llXh2Q,AQACAAE/irclogs-470/

–> à 23:13  😎

Donc Toad a avant tout voulu attirer l’attention sur le script vérificateur de compilation et ça a « légèrement » grogné entre lui et Sanity (d’autant plus que la loi n’est pas passée de la façon qu’à crainte Toad, donc il ne peut pas être forcé à inclure des backdoors). Mais mon conseil reste d’actualité: Freenet devrait se doter de développeurs strictement anonymes (que ça soit pour la sécurité du projet, ou la sécurité des développeurs eux-même).

//  My advice to Toad and Sanity, translated for you: Freenet should have a totally anonymous dev team for both the projet’s and the dev’s safety. Thank you 🙂

6 pensées sur “Freenet: risque de backdoor [EDIT]”

  1. « Il serait peut-être temps que Freenet se dote d’une équipe de développeurs anonymes et internationaux. » ← Et qu’il soit codé dans un langage qui ne dépend pas pour son fonctionnement d’un programme édité par une société privée américaine (donc potentiellement pas fiable et pouvant être soumise au même type de lois débiles).

    Ça fera probablement du boulot en plus (pour la compatibilité qui est actuellement gérée par Java) mais au final je pense qu’on gagnera à le faire.

    1. S’il le fait pas, il est passible de prison (et peut oublier ses études universitaires), ce qui gèlera le développement de Freenet. S’il le fait, Freenet sera un grand honeypot pour le Royaume Uni puis sans doute d’autres pays.

      Vu la situation, je pense que le mieux c’est que Ian « Sanity » Clarke révoque les accès en écriture à toute personne physiquement identifiée, puis redonne des accès à des personnes anonymes (dont « Toad » peut faire partie officieusement) en reconditionnant ses propres accès (vu qu’en tant que fondateur du projet il ne pourra jamais être tout à fait anonyme).

      Ce qui serait meilleur aussi contre d’éventuelles pressions voire menaces IRL sur les développeurs. Freenet va avoir un rôle de plus en plus politique en tant qu’outil garantissant la liberté d’expression, et les développeurs pourraient risquer leur vie si l’outil devient « trop utile » par exemple aux opposants Iraniens.

  2. HEIN ???!!! >8-[

    RRRHHHHAAAAAAA…..

    Alors c’est ça, la suite ? S’attaquer à tous les auteurs de logiciels d’anonymisation ? TOR, Freenet, I2P… Il va donc falloir, pour garantir notre liberté, que les développeurs deviennent eux aussi anonymes ?

    Et est-ce qu’ils ont aussi l’intention de forcer la mise en place de backdoors dans TrueCrypt, GnuPG et PGP ? (Ah non je suis con: PGP est de toute manière déjà, et désormais, à sources fermés.)

Les commentaires sont fermés.