Comment la Python Software Foundation a répondu à trois assignations à produire des données du PyPI,
le département de la justice américain s’intéresse aux utilisateurs du Python Package Index

En mars et avril 2023, la Python Software Foundation (PSF) a reçu trois assignations à produire les données des utilisateurs de PyPI. Les trois assignations ont été émises par le ministère de la Justice des États-Unis. La PSF assure ne pas avoir reçu de contexte sur les circonstances juridiques entourant ces assignations. Au total, des données utilisateur relatives à cinq noms d'utilisateur PyPI ont été demandées.

La Python Software Foundation (PSF) est une organisation à but non lucratif dédiée à la promotion, à la protection et à l’avancement du langage de programmation Python et de sa communauté. Elle soutient le développement de Python, de la technologie liée à Python et des ressources éducatives. La PSF compte plus de 700 000 membres, qui sont des personnes ou des organisations qui contribuent au développement ou à l’utilisation de Python. Les membres de la PSF bénéficient de certains avantages, tels que le droit de vote aux élections du conseil d’administration, l’accès à des offres d’emploi ou des réductions pour certaines conférences.

La PSF gère et maintient plusieurs services essentiels pour la communauté Python, tels que python.org , le Python Package Index (PyPI) , la documentation Python , et bien d’autres. Elle produit et finance également la conférence PyCon US, le plus grand rassemblement annuel pour la communauté Python.

Le service qui a été ciblé par les autorités américaines est le PyPI, un dépôt de logiciels pour le langage de programmation Python. Il vous permet de trouver et d’installer des logiciels développés et partagés par la communauté Python. Il contient plus de 450 000 paquets Python, qui sont des collections de modules, de scripts, de fichiers de données ou d’autres ressources qui peuvent être utilisés dans un projet Python.

Le PyPI stocke également les métadonnées décrivant les distributions empaquetées avec distutils (un package qui fournit le support pour la création et l'installation de modules supplémentaires dans une installation Python) et d’autres outils de publication, ainsi que les archives des distributions elles-mêmes. Les métadonnées comprennent le nom du paquet, la version, la description, les dépendances, les licences, les auteurs, etc.

Le PyPI est maintenu par des administrateurs bénévoles qui s’occupent de la sécurité, de la performance et de la modération du dépôt. Le PyPI est un service essentiel pour les développeurs Python, car il leur offre un large éventail de paquets pour répondre à leurs besoins et à leurs intérêts. Que vous vouliez faire du web, du calcul scientifique, du traitement du langage naturel, du développement de jeux ou autre chose, vous trouverez probablement un paquet qui vous convient sur le PyPI.

PyPI ciblé par les autorités américaines

Dans un billet de blog publié sur le site du PyPI, Ee Durbin, directeur de l’infrastructure de la Python Software Foundation (PSF), a décrit de manière détaillée la réponse de l’organisation à trois assignations que la Fondation a reçues pour produire des données d’utilisateurs du PyPI en mars et avril 2023. Les demandes d’information étaient assez larges et la PSF a fourni les données demandées (dans la mesure du possible), qui concernaient cinq comptes d’utilisateurs du PyPI, sous les conseils de son avocat.

La PSF n’a pas été informée du contexte juridique entourant ces assignations à comparaître. Les données demandées étaient les suivantes :
  1. Noms (y compris les noms d’abonnés, les noms d’utilisateurs et les pseudonymes) ;
  2. Adresses (y compris les adresses postales, résidentielles, professionnelles et électroniques) ;
  3. Registres de connexion ;
  4. Registres des durées et des heures des sessions, et l’adresse réseau temporairement attribuée (telle que les adresses IP) associées à ces sessions ;
  5. Durée du service (y compris la date de début) et type de services utilisés ;
  6. Numéros de téléphone ou d’instrument (y compris l’adresse IP d’enregistrement) ;
  7. Moyens et source de paiement de ces services (y compris tout numéro de carte de crédit ou de compte bancaire) et registres de facturation ;
  8. Registres de tous les paquets Python Package Index (PyPI) téléchargés par… les noms d’utilisateurs donnés
  9. Registres IP des téléchargements de tout paquet Python Package Index (PyPI) téléchargé par… les noms d’utilisateurs donnés

La confidentialité des utilisateurs de PyPI est une préoccupation majeure pour PSF et les administrateurs de PyPI, et nous nous engageons à protéger les données des utilisateurs contre la divulgation dans la mesure du possible. Dans ce cas, cependant, PSF a déterminé avec l'avis d'un avocat que notre seule ligne de conduite était de fournir les données demandées. En tant que directeur de l'infrastructure de la Python Software Foundation, j'ai répondu aux demandes en consultation avec l'avocat de PSF.

Nous avons attendu que la série d'assignations se calme, bien que nous nous soyons engagés dès le début à écrire et publier ce message par souci de transparence, et comme le permet l'absence d'une ordonnance de non-divulgation associée aux assignations reçues en mars et avril 2023.
Le billet se poursuit en détaillant exactement quels champs des tables de la base de données ont été utilisés pour répondre à la demande (sans identifier les cibles, naturellement). Par ailleurs, une autre déclaration dans le billet laisse ouverte la possibilité que d’autres assignations à produire des données aient été reçues depuis lors.

Nom : nom.png Affichages : 1225 Taille : 8,5 Ko

Et d'assurer que la Fondation

Le PyPI et la PSF sont attachés à la liberté, à la sécurité et à la confidentialité de nos utilisateurs. Ce processus a offert l’occasion de revoir nos normes actuelles en matière de données et de confidentialité, qui sont minimales, afin qu’elles tiennent compte des intérêts variés de la communauté Python. Bien que nous ne collections que très peu de données personnelles auprès des utilisateurs du PyPI, toutes les données inutilement conservées sont toujours soumises à ce type de demandes en plus du risque de base de compromission des données par malveillance ou erreur humaine. En conséquence, nous sommes actuellement en train d’élaborer de nouvelles politiques en matière de conservation et de divulgation des données. Ces politiques concerneront nos procédures pour les futures demandes gouvernementales de données, la manière dont nous stockons les informations personnellement identifiables telles que les registres d’accès des utilisateurs et pendant combien de temps, ainsi que des politiques qui rendent ces éléments explicites pour nos utilisateurs et notre communauté.
Source : billet PyPI

Et vous ?

Que pensez-vous de la réaction de la PSF face aux assignations à produire des documents ?
Pensez-vous que le département de la justice américain a agi de manière appropriée et légale en demandant ces données ?
Avez-vous déjà utilisé le PyPI pour télécharger ou partager des paquets Python ? Si oui, avez-vous des préoccupations concernant la sécurité et la confidentialité de vos données ?
Quelles mesures prenez-vous pour protéger vos données personnelles lorsque vous utilisez des services en ligne comme le PyPI ?
Quels sont les avantages et les inconvénients du PyPI par rapport à d’autres dépôts de logiciels ?