Have I Been Pwned? passe en open source et annonce un partenariat avec le FBI

Félix Cattafesta |

Vous connaissez sans doute le site Have I Been Pwned?, qui permet de savoir si votre adresse email ou vos mots de passe ont été compromis. Après avoir entré vos informations, le site va analyser plusieurs bases de données qui ont fuité et vérifier si les vôtres s'y trouvent, le tout de manière sécurisé. Lancé en 2013 par l'expert en sécurité Troy Hunt, le site est un succès : Hunt déclarait 150 000 visiteurs uniques par jour en 2019, et jusqu'à 10 millions lors de journées particulièrement actives. Dans un billet de blog, le développeur a dévoilé deux nouvelles importantes pour l'avenir du site.

Comme ambitionné depuis l'année dernière, le projet est désormais open source (c'est le code faisant fonctionner le site qui est rendu public, pas son immense base de données pour des raisons de sécurité, mais des API sont disponibles pour en tirer parti). Cette solution semble la plus adaptée au créateur pour la longévité du site. Elle permet également de rendre transparent ce projet maniant des données sensibles tout en permettant au plus grand nombre de s'en servir. Have I Been Pwned? est d'ailleurs déjà utilisé par 1Password et par Firefox.

Cette transition vers l'open source s'est faite grâce à la Fondation .Net. Elle a pu être réalisée facilement car le code est assez simple, le site est à but non commercial et les données utilisées sont libres.

Deuxième annonce : le projet va bientôt fonctionner en partenariat avec le FBI, qui pourra alimenter le site avec les mots de passe compromis qu'ils interceptent (ceux-ci seront transmis au site sous forme de paires d’empreintes SHA-1 et NTLM). Selon Hunt, cela permettra de rendre de nouvelles bases de données accessibles au public très rapidement, le FBI pouvant alimenter le site jusqu'à 1 milliard de fois par mois avec une fréquence variable selon les enquêtes. Cependant, cela n'est pas encore opérationnel car il manque une partie de code. Celle-ci va être écrite de manière collective dans un premier projet open source.


avatar Sindanárië | 

Et pourquoi pas le FSB, la DGSI, etc hein ?

avatar WebOliver | 

Je crois que Mackie est également dans le coup…

avatar Sindanárië | 
avatar v1nce29 | 

Le FBI va publier des comptes dont les mots de passe n'ont pas été crackés pour inciter les cibles à en changer (en espérant que le nouveau soit dans leur rainbow tables)

avatar victoireviclaux | 

@v1nce29

Source ?

avatar Sindanárië | 

@victoireviclaux

Perrier, Volvic, Contrex…

avatar victoireviclaux | 

@Sindanárië

Oui c'est sûrement ça

avatar Ielvin | 

@victoireviclaux

Sérieusement ?

avatar Sindanárië | 

@Ielvin

Ben oui.
C’est pas le genre youpla-boum ! 😀

avatar Sometime | 

@v1nce29

Pas très convaincant votre affaire. D’autant que les rainbow tables sont plutôt inutiles lorsque l’authentication est faite correctement.

avatar v1nce29 | 

Mon scénario était à prendre avec un grain de salt.

avatar vicento | 

@v1nce29

Il y a d’ailleurs relativement peu de chance qu’aucune agence gouvernementale ne s’intéresse de près à ces bases de donnée

avatar Ielvin | 

@v1nce29

Donc ils ne vont rien publier:)

avatar Nesus | 

Dashlane aussi l’utilise. Depuis un long moment d’ailleurs.

avatar Sindanárië | 

@Nesus

Le FBI ?

avatar Nesus | 

@Sindanárië

L’article s’intéresse à have i pwned. Pas au FBI, mais c’était bien essayé 👍

avatar Cric | 

Est il possible d’enregistrer une @ mail et être prévenu si cette adresse est compromise ?

avatar Tibimac | 

@Cric

1Password fait ça

avatar Sanid35 | 

@Cric

Oui Directement sur le site have i been pwned

avatar Sindanárië | 

@Cric

Le gestionnaire de mot de passe iOS fait ça

avatar andr3 | 

@Cric

On peut également renseigner son domaine pour être notifier de la compromission de ses comptes. Il y’a alors une procédure qui permet d’identifier strictement le propriétaire du domaine en question.

CONNEXION UTILISATEUR