Have I Been Pwned désormais open source, un partenariat avec le FBI
Le 31 mai 2021 à 08h34
2 min
Internet
Internet
Troy Hunt, auteur du service référençant les milliards de mots de passe ayant fuité, a annoncé deux importantes nouvelles vendredi.
D’une part, HIBP est désormais open source. Hunt avait annoncé son intention de faire ce grand saut en août dernier. La transformation a été réalisée avec le soutien de la fondation .NET.
Il avait été contacté par Claire Novotny, anciennement de Microsoft et aujourd’hui directrice générale de la fondation indépendante. Hunt décrit une « base très simple de code » stockée dans Azure Storage, avec une seule Azure Function et un worker Cloudflare. Rien ne change pour le reste, y compris l’utilisation des API.
Le passage à l’open source était le grand projet de Hunt pour assurer la pérennité du service. Une infrastructure solide devenait d'autant plus importante que le service frôle désormais le milliard de requêtes par mois.
Il souhaitait également assurer le remplissage de la base avec des données fraîches, d’où l’intérêt du partenariat annoncé avec le FBI.
Le Bureau dispose désormais d’une autoroute pour alimenter HIBP en nouveaux mots de passe, jusqu’à un milliard de fois par mois. Les données seront fournies sous forme de paires d’empreintes SHA-1 et NTLM. Aucune préversion n’est faite sur la cadence d’apparition des nouvelles, qui dépendront des enquêtes.
Cependant, la mise à disposition rapide des données aux utilisateurs nécessite l’écriture d’un nouveau code. Hunt demande donc de l’aide pour ce qui sera un projet collaboratif open source en partenariat avec une agence fédérale pour une base ouverte à tous.
Le 31 mai 2021 à 08h34
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/05/2021 à 10h36
Manque plus qu’un web service pour accéder aux rainbow tables du FBI.
Le 31/05/2021 à 11h52
J’aime pas trop quand des projets prometteurs se rapprochent d’institutions opaques comme peut l’être le FBI. J’ai des questions qui me viennent en tête, notamment l’existence d’une ou de contrepartie(s) dans ce partenariat, et si oui, la(les)quelle(s) ? Have I Been Pwned, ça peut aussi devenir une énorme base de données sensibles.
Le 31/05/2021 à 12h28
Les adresses vont être open sourcées aussi ?
Je me suis toujours demandé si ce site était en règle, car il détient les e-mails des européens sans aucun consentement…
Le 31/05/2021 à 12h58
Ils n ont pas besoin des emails en clair juste d un hash et la c est OK
Le 31/05/2021 à 15h05
C’est une base de données de d’empreintes (hash). Je ne vois pas en quoi ca dérange que cette base soit alimentée par une agence gouvernementale plutôt que par des anonymes qui achètent des packs de password sur le darknet.
Perso j’aurais préféré que les agences US alimentent les bases CVE, mais elles ne vont pas publier les 0-day qu’elles utilisent