Have I Been Pwned? passe en open source et annonce un partenariat avec le FBI
Vous connaissez sans doute le site Have I Been Pwned?, qui permet de savoir si votre adresse email ou vos mots de passe ont été compromis. Après avoir entré vos informations, le site va analyser plusieurs bases de données qui ont fuité et vérifier si les vôtres s'y trouvent, le tout de manière sécurisé. Lancé en 2013 par l'expert en sécurité Troy Hunt, le site est un succès : Hunt déclarait 150 000 visiteurs uniques par jour en 2019, et jusqu'à 10 millions lors de journées particulièrement actives. Dans un billet de blog, le développeur a dévoilé deux nouvelles importantes pour l'avenir du site.
Comme ambitionné depuis l'année dernière, le projet est désormais open source (c'est le code faisant fonctionner le site qui est rendu public, pas son immense base de données pour des raisons de sécurité, mais des API sont disponibles pour en tirer parti). Cette solution semble la plus adaptée au créateur pour la longévité du site. Elle permet également de rendre transparent ce projet maniant des données sensibles tout en permettant au plus grand nombre de s'en servir. Have I Been Pwned? est d'ailleurs déjà utilisé par 1Password et par Firefox.
Cette transition vers l'open source s'est faite grâce à la Fondation .Net. Elle a pu être réalisée facilement car le code est assez simple, le site est à but non commercial et les données utilisées sont libres.
Deuxième annonce : le projet va bientôt fonctionner en partenariat avec le FBI, qui pourra alimenter le site avec les mots de passe compromis qu'ils interceptent (ceux-ci seront transmis au site sous forme de paires d’empreintes SHA-1 et NTLM). Selon Hunt, cela permettra de rendre de nouvelles bases de données accessibles au public très rapidement, le FBI pouvant alimenter le site jusqu'à 1 milliard de fois par mois avec une fréquence variable selon les enquêtes. Cependant, cela n'est pas encore opérationnel car il manque une partie de code. Celle-ci va être écrite de manière collective dans un premier projet open source.
Et pourquoi pas le FSB, la DGSI, etc hein ?
Je crois que Mackie est également dans le coup…
@WebOliver
https://media0.giphy.com/media/hvkdNvfmrc80cSvEsk/giphy.gif?cid=5e214886...
Le FBI va publier des comptes dont les mots de passe n'ont pas été crackés pour inciter les cibles à en changer (en espérant que le nouveau soit dans leur rainbow tables)
@v1nce29
Source ?
@victoireviclaux
Perrier, Volvic, Contrex…
@Sindanárië
Oui c'est sûrement ça
@victoireviclaux
Sérieusement ?
@Ielvin
Ben oui.
C’est pas le genre youpla-boum ! 😀
@v1nce29
Pas très convaincant votre affaire. D’autant que les rainbow tables sont plutôt inutiles lorsque l’authentication est faite correctement.
Mon scénario était à prendre avec un grain de salt.
@v1nce29
Il y a d’ailleurs relativement peu de chance qu’aucune agence gouvernementale ne s’intéresse de près à ces bases de donnée
@v1nce29
Donc ils ne vont rien publier:)
Dashlane aussi l’utilise. Depuis un long moment d’ailleurs.
@Nesus
Le FBI ?
@Sindanárië
L’article s’intéresse à have i pwned. Pas au FBI, mais c’était bien essayé 👍
Est il possible d’enregistrer une @ mail et être prévenu si cette adresse est compromise ?
@Cric
1Password fait ça
@Cric
Oui Directement sur le site have i been pwned
@Cric
Le gestionnaire de mot de passe iOS fait ça
@Cric
On peut également renseigner son domaine pour être notifier de la compromission de ses comptes. Il y’a alors une procédure qui permet d’identifier strictement le propriétaire du domaine en question.