Fuite de données : Have I Been Pwned va passer en open source

Stéphane Moussie | 17/08/2020 à 13:00

Après avoir envisagé vendre Have I Been Pwned, Troy Hunt va finalement passer son service en open source. Ce n'est pas faute d'avoir eu des candidats — 141 entreprises ont manifesté leur intérêt —, mais le chercheur en sécurité ne voulait pas vendre sa création à n'importe qui ni n'importe comment.

Have I Been Pwned revêt en effet un caractère très sensible : ce service permet de vérifier si votre adresse email fait partie d'une fuite de données, auquel cas vous devriez changer les mots de passe qui lui sont associés.

« La philosophie de Have I Been Pwned a toujours été d'aider la communauté, maintenant je souhaite que la communauté aide Have I Been Pwned », déclare Troy Hunt. Bien qu'il soit seul à la tête de ce projet depuis 2013, il a été épaulé financièrement et techniquement par divers individus et entreprises au fil des ans. Dès lors, le passage en open source est on ne peut plus logique, explique-t-il, c'est la meilleure façon d'officialiser l'aspect communautaire du projet. C'est aussi une façon de le faire évoluer plus rapidement et de rassurer sur sa sécurité en permettant à quiconque de scruter son code.

Ce passage en open source va être réalisé progressivement et Troy Hunt préfère ne pas s'avancer sur une échéance. Quant à l'immense base de données de Have I Been Pwned, qui contient plus de 10 milliards de comptes issus de nombreuses fuites, le chercheur veut « toujours s'assurer que les mêmes contrôles de confidentialité » l'encadrent, même si le code de base devient plus transparent.

Disponible depuis ses débuts sous la forme d'un site web, Have I Been Pwned a depuis été intégré à 1Password, au gestionnaire de mots de passe de Firefox et à KeePassXC.

Amazon veut relancer Prime… avec un forfait téléphonique (presque) gratuit

Sortie de veille : quelques moments historiques (et parfois gênants) des WWDC récentes

Promo : MacBook Air M1 à 999 € et -250 à -400 € sur les MacBook Pro M2

Test du Knog Scout : un AirTag avec alarme bien pensé pour les vélos

Léopold FEZEU | 17/08/2020 à 13:06

Il serait apparemment également intégré au trousseau de safari

Rifilou | 17/08/2020 à 14:23

@DrStrange

Ce n’est pas « apparemment » car Apple l’a annoncé à la WWDC 😉

TrollMan06 | 17/08/2020 à 20:45

@DrStrange

Dans iOS 14 ?

Sindanarie | 17/08/2020 à 14:06

Pour qu’Apple intègre un tel service, on peut attendre que le soleil devienne une naine blanche!

Rifilou | 17/08/2020 à 14:22

@Sindanárië

Raté, un service identique à été intégré re au Trousseau iCloud dans iOS 14 ;) Peut-être qu’ils se basent dessus d’ailleurs

F7544 | 17/08/2020 à 14:33

@Rifilou

Oui je teste en ce moment sur iOS et c’est assez efficace. J’essaierai ce soir sur Big Sur.

Le nouveau gestionnaire de mot de passe crée une liste de mot de passe à changer d’urgence et une liste de conseils pour les autres.

Il donne aussi un lien pour accéder directement à la page de modification du compte avec suggestion et enregistrement dans le trousseau Apple.

J’ai changé une dizaine de mot passe en quelques minutes avec l’iPhone.

Sindanarie | 17/08/2020 à 16:39

@Rifilou

Et non pas raté!
Ios 14 n’est pas la version officielle actuelle.
Elle n’est pas sortie, donc ce service n’existe pas !

MattEyraud | 17/08/2020 à 17:17

@Sindanárië

Et si, raté! A moins que “le soleil devienne une naine blanche” avant la sortie d’iOS14.

Djerfy | 17/08/2020 à 14:59

Belle initiative en tout cas de le rendre open source

alexis83 (non vérifié) | 17/08/2020 à 17:01

Il est aussi sur strongbox

TheUMan | 17/08/2020 à 17:09

J'avoue ne pas comprendre qu'est-ce qui empêche se service de revendre sa base de test ?
Utiliser ce service revient à dire c'est bon, je vous donne mon adresse mail, venez me spammer...
Ou pire il peut ensuite utiliser votre adresse pour envoyer du spam... (votre compte étant ensuite pourri de retour mail daemon).

Sometime | 17/08/2020 à 17:52

@TheUMan

Pas tout a fait, il me semble que c’est justement ce qu’essaie d’éviter ce service, en n’envoyant jamais les identifiants (emails ou mot de passe) mais des hashs partiels de ceux-ci.

En gros le service reçoit une empreinte partielle de vos identifiants, regarde si il a dans sa base ladite empreinte partielle et a partir de la détermine si vous êtes potentiellement victime.

[edit]
Cela ne semble concerner que les mot de passe, l’adresse email est bien utilisée en clair, donc si le service ne pretend en effet ne faire qu’une recherche sans conserver celle-ci cela reste une question de confiance. Cela étant puisqu’ils disposent de la base initiale ils auraient déjà pu spammer si c’était véritablement leur but...

TheUMan | 18/08/2020 à 17:58

C'est un peu le systeme bloctel où tu t'inscris pour ensuite ne pas être dérangé sauf que les organismes utilisent cette même liste pour être sûr qu'il y a bien une personne derrière un numero de tel valide...