Il y a près d’un an, la plateforme de suivi des violations de données Have I Been Pwned (HIBP) a annoncé son intention de devenir un projet open source. La première étape de cette transition est maintenant terminée: le code Pwned Passwords de HIBP est open source et disponible sur GitHub. Le changement assure la transparence du HIBP et, curieusement, ouvre la porte aux contributions du FBI.
Have I Been Pwned suit les violations de données et collecte les données volées, permettant aux utilisateurs de vérifier si leurs adresses e-mail ou leurs mots de passe ont été compromis. Maintenant que HIBP ouvre son code Pwned Passwords, il peut accepter les contributions du FBI et d’autres organisations susceptibles d’avoir des informations sur les violations de données et les activités cybercriminelles.
En d’autres termes, le FBI ne se mêle pas du code de HIBP. Il donne simplement des données à HIBP sous la forme de paires de hachage SHA-1 et NTLM sécurisées (pas de texte en clair). Bryan A. Vorndran, directeur adjoint de la division Cyber du Bureau, déclare que le FBI est «ravi de s’associer à HIBP sur cet important projet visant à protéger les victimes de vol d’informations d’identification en ligne ».
Mais pourquoi commencer par le code Pwned Passwords? Selon le fondateur de HIBP, Troy Hunt, l’open-source Pwned Passwords était simplement le point de départ le plus simple. Pwned Passwords est fondamentalement indépendant du reste de HIBP avec son propre domaine, son compte CloudFlare et ses services Azure. De plus, il n’est pas commercial et ses données sont déjà accessibles au public dans des ensembles de hachage téléchargeables.
Hunt espère que l’open-source Pwned Passwords fournira une plus grande transparence pour le service HIBP et permettra aux gens d’encapsuler leurs propres outils Pwned Passwords. C’est un grand changement par rapport à 2019, lorsque Hunt envisageait de vendre HIBP.
Vous pouvez trouver le code Pwned Passwords sur GitHub sous licence sous la clause BSD-3. Le processus d’open source est toujours en cours et Hunt demande aux membres de la communauté open source d’aider HIBP à développer un pipeline d’ingestion pour des contributeurs comme le FBI.
Source: Ai-je été Pwned via ZDNet