Il y a près d’un an, la plate-forme de suivi des violations de données Have I Been Pwned (HIBP) annoncé envisage de devenir un projet open source. La première étape de cette transition est maintenant terminée : le code Pwned Passwords de HIBP est open source et disponible sur GitHub. Le changement offre de la transparence pour HIBP et, curieusement, ouvre la porte aux contributions du FBI.
Have I Been Pwned assure le suivi des violations de données et collecte les données volées, permettant aux utilisateurs de vérifier si leurs adresses e-mail ou mots de passe ont été compromis. Maintenant que HIBP met en libre accès son code Pwned Passwords, il peut accepter les contributions du FBI et d’autres organisations susceptibles d’avoir un aperçu des violations de données et des activités de cybercriminalité.
En d’autres termes, le FBI ne se mêle pas du code de HIBP. Il s’agit simplement de fournir des données à HIBP sous la forme de paires de hachage SHA-1 et NTLM sécurisées (pas en texte brut). Bryan A. Vorndran, directeur adjoint de la cyber division du Bureau, déclare que le FBI est «ravi de s’associer à HIBP sur cet important projet de protection des victimes de vol d’informations d’identification en ligne».
Je suis très heureux d’annoncer que @haveibeenpwned‘s Pwned Passwords est désormais open source sous @dotnetfdn . Nous avons maintenant du travail à faire : créer un pipeline d’ingestion pour les nouveaux mots de passe fournis par le @FBI sur un base continue. C’est super cool 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) 27 mai 2021
Mais pourquoi commencer par le code Pwned Passwords ? Selon Troy Hunt, fondateur de HIBP, l’open source Pwned Passwords n’était que le point de départ le plus simple. Pwned Passwords est fondamentalement indépendant du reste de HIBP avec son propre domaine, son compte CloudFlare et ses services Azure. De plus, il n’est pas commercial et ses données sont déjà accessibles au public dans des jeux de hachage téléchargeables.
Hunt espère que les mots de passe Pwned open-source offriront une plus grande transparence pour le service HIBP et permettront aux utilisateurs de créer leurs propres outils de mots de passe Pwned. C’est un grand changement par rapport à 2019, lorsque Hunt envisageait de vendre HIBP.
Vous pouvez trouver le code des mots de passe Pwned sur GitHub sous la licence Clause BSD-3 . Le processus d’open source est toujours en cours, et Hunt demande aux membres de la communauté open source d’aider HIBP à développer un pipeline d’ingestion pour des contributeurs comme le FBI.
Source: Ai-je été pwned via ZDNet