Have I Been Pwned opte pour l’open source

Have I Been Pwned opte pour l'open source

Les gens consultent le site gratuit Have I Been Pwned (HIBP) à un rythme de près d’un milliard de requêtes par mois. Ce site recueille des données sur les nombreuses fuites de mots de passe qui se produisent toutes les semaines ou toutes les deux semaines. Rien que l’année dernière, nous avons assisté à des dizaines de fuite de données. Désormais, HIBP recevra également les mots de passe compromis découverts au cours d’enquêtes du FBI.

Pourquoi le FBI s’implique-t-il ? Bryan A. Vorndran, directeur adjoint de la Cyber Division du FBI, a déclaré : “Nous sommes ravis de nous associer à HIBP dans le cadre de cet important projet visant à protéger les victimes de vol d’identifiants en ligne. C’est un autre exemple de l’importance des partenariats public/privé dans la lutte contre la cybercriminalité.”

publicité

Les mots de passe du FBI seront fournis sous forme de hash SHA-1 et NTLM : HIBP n’a pas besoin d’accéder aux mots de passe en clair. Ils seront introduits dans le système au fur et à mesure qu’ils seront mis à disposition par le Bureau. Pour ce faire, HIBP ajoute un nouveau programme open-source, Pwned Passwords, afin de permettre aux données de circuler facilement.

Le fondateur de HIBP, Troy Hunt, expert en sécurité et directeur régional chez Microsoft, a expliqué qu’il poussait le code en open source parce que “la philosophie de HIBP a toujours été de soutenir la communauté. Maintenant je veux que la communauté aide à soutenir HIBP.” HIBP est écrit en .NET et fonctionne sur Azure.

Avec un milliard de recherches par mois, je suis sûr que Hunt aura besoin de toute l’aide possible. Il a commencé à planifier l’ouverture du code de HIBP en août 2020. Hunt a rapidement découvert que ce n’était pas facile. Il a écrit :

Je savais que ce ne serait pas facile, mais je savais aussi que c’était la bonne chose à faire pour la longévité du projet. Ce que je ne savais pas, c’est à quel point ce serait complexe pour toutes sortes de raisons que vous pouvez imaginer et pour un tas d’autres qui ne sont pas immédiatement évidentes. Il faut déployer des efforts considérables pour faire passer dans le domaine public un projet qui a été mené par une seule personne pendant des années. Je n’avais aucune idée de la façon de gérer un projet open source : établir le modèle de licence, coordonner les efforts de la communauté, accepter les contributions, repenser le processus de publication et toutes sortes d’autres choses auxquelles je suis sûr de ne pas avoir encore pensé. C’est là que la Fondation .NET intervient.

La Fondation .NET ne fait pas partie de Microsoft. Il s’agit d’une organisation indépendante à but non lucratif 501(c).

Hunt commence par ouvrir le code de Pwned Password car il est relativement facile à utiliser. Il y a plusieurs raisons à cela :

  1. Il s’agit d’une base de code très simple composée d’Azure Storage, d’une seule Azure Function et d’un worker Cloudflare.
  2. Il dispose de son propre domaine, de son propre compte Cloudflare et de ses propres services Azure, de sorte qu’il peut facilement être repris et mis en libre accès indépendamment du reste de HIBP.
  3. Il est entièrement non-commercial, sans coûts d’API ou de services d’entreprise comme d’autres parties de HIBP.
  4. Les données qui alimentent Pwned Passwords sont déjà librement disponibles dans le domaine public via les compilations de mots de passe volés téléchargeables.

Ainsi, Hunt peut facilement “soulever et déplacer Pwned Passwords dans le domaine des logiciels libres d’une manière assez simple, ce qui en fait l’endroit évident pour commencer. C’est également un bon timing car HIBP est maintenant intégré à de nombreux services en ligne et cette évolution garantit que n’importe qui puisse exécuter sa propre instance de Pwned Passwords s’il le souhaite”.

Hunt espère “que cela encouragera une plus grande adoption du service, à la fois en raison de la transparence qu’apporte l’ouverture du code et de la confiance qu’apporte la possibilité pour les utilisateurs de faire tourner leur propre instance. Peut-être qu’ils ne veulent pas dépendre de l’API hébergée, peut-être qu’ils veulent juste une position de repli si jamais je venais à mourir prématurément dans un malheureux accident de jet ski. Cela donne le choix aux gens”.

Dans un premier temps, Hunt avait envisagé de vendre HIBP. Avec cette évolution vers l’open source, cela ne semble plus être le cas.

Le code de HIBP est conservé sur GitHub. Il est régi par la licence BSD 3-Clause.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *