Have I Been Pwned désormais open source, un partenariat avec le FBI

Have I Been Pwned désormais open source, un partenariat avec le FBI

Par Sébastien Gavois

Le 31 Mai 2021 à 08h34
Internet
2 min 5

Have I Been Pwned désormais open source, un partenariat avec le FBI

Troy Hunt, auteur du service référençant les milliards de mots de passe ayant fuité, a annoncé deux importantes nouvelles vendredi.

D’une part, HIBP est désormais open source. Hunt avait annoncé son intention de faire ce grand saut en août dernier. La transformation a été réalisée avec le soutien de la fondation .NET.

Il avait été contacté par Claire Novotny, anciennement de Microsoft et aujourd’hui directrice générale de la fondation indépendante. Hunt décrit une « base très simple de code » stockée dans Azure Storage, avec une seule Azure Function et un worker Cloudflare. Rien ne change pour le reste, y compris l’utilisation des API. 

Le passage à l’open source était le grand projet de Hunt pour assurer la pérennité du service. Une infrastructure solide devenait d'autant plus importante que le service frôle désormais le milliard de requêtes par mois.

Il souhaitait également assurer le remplissage de la base avec des données fraîches, d’où l’intérêt du partenariat annoncé avec le FBI.

Le Bureau dispose désormais d’une autoroute pour alimenter HIBP en nouveaux mots de passe, jusqu’à un milliard de fois par mois. Les données seront fournies sous forme de paires d’empreintes SHA-1 et NTLM. Aucune préversion n’est faite sur la cadence d’apparition des nouvelles, qui dépendront des enquêtes.

Cependant, la mise à disposition rapide des données aux utilisateurs nécessite l’écriture d’un nouveau code. Hunt demande donc de l’aide pour ce qui sera un projet collaboratif open source en partenariat avec une agence fédérale pour une base ouverte à tous.

Commentaires (5)


v1nce
Le 31/05/2021 à 10h36

Manque plus qu’un web service pour accéder aux rainbow tables du FBI.


prog-amateur
Le 31/05/2021 à 11h52

J’aime pas trop quand des projets prometteurs se rapprochent d’institutions opaques comme peut l’être le FBI. J’ai des questions qui me viennent en tête, notamment l’existence d’une ou de contrepartie(s) dans ce partenariat, et si oui, la(les)quelle(s) ? Have I Been Pwned, ça peut aussi devenir une énorme base de données sensibles.


Jarodd Abonné
Le 31/05/2021 à 12h28

Les adresses vont être open sourcées aussi ? :transpi:
Je me suis toujours demandé si ce site était en règle, car il détient les e-mails des européens sans aucun consentement…


ben5757 Abonné
Le 31/05/2021 à 12h58

Ils n ont pas besoin des emails en clair juste d un hash et la c est OK


127.0.0.1
Le 31/05/2021 à 15h05

(quote:1876725:prog-amateur)
J’aime pas trop quand des projets prometteurs se rapprochent d’institutions opaques comme peut l’être le FBI. J’ai des questions qui me viennent en tête, notamment l’existence d’une ou de contrepartie(s) dans ce partenariat, et si oui, la(les)quelle(s) ? Have I Been Pwned, ça peut aussi devenir une énorme base de données sensibles.




C’est une base de données de d’empreintes (hash). Je ne vois pas en quoi ca dérange que cette base soit alimentée par une agence gouvernementale plutôt que par des anonymes qui achètent des packs de password sur le darknet.



Perso j’aurais préféré que les agences US alimentent les bases CVE, mais elles ne vont pas publier les 0-day qu’elles utilisent :D


Fermer