La code de Have I Been Pwned devient open source

La code de Have I Been Pwned devient open source

par Yohann Poiron le 20/08/2020

De nos jours, on considère que presque comme acquis qu’une sécurité médiocre exposera inévitablement certains de vos noms d’utilisateur et mots de passe au monde entier. Depuis 2013, le développeur Troy Hunt propose un outil de sécurité en ligne inestimable appelé Have I Been Pwned. Saisissez votre e-mail, et le site vous indiquera si elle a été trouvée dans une brèche de sécurité connue, vous donnant une assez bonne idée de l’opportunité de changer votre mot de passe.

Maintenant, Hunt indique qu’il prévoit de rendre le code de Have I Been Pwned open source afin de s’assurer que le projet ne dépend pas d’une seule personne (et d’obtenir de l’aide pour corriger des bugs ou ajouter de nouvelles fonctionnalités). Mais, les données qui sont utilisées pour déterminer si vos informations sont vulnérables ? Elles ne seront probablement pas disponibles en open source de sitôt.

Comme le note Hunt, c’est à cause de la façon dont Have I Been Pwned fonctionne. HIBP n’existe que grâce à un tas d’activités qui ont abouti à des données qui se sont finalement retrouvées en ma possession. Bien sûr, la situation est un peu plus nuancée que cela, la grande majorité des données de HIBP étant déjà en circulation et passant par de nombreuses mains. Mais quoi qu’il en soit, même la légalité de la possession de ces données reste floue…

En d’autres termes, ce sont des informations privées sur les utilisateurs qui sont exposées lors d’une violation de données, et que les hackers tentent ensuite de vendre ou de divulguer en ligne. Et, Hunt utilise ces données pour vous aider à découvrir si vos données personnelles sont menacées.

De grandes entreprises et des organisations à but non lucratif ont travaillé avec Hunt ces dernières années, ou ont utilisé les mêmes données que celles de Have I Been Pwned pour leurs propres outils de sécurité. Il n’est donc peut-être pas exactement illégal pour Hunt de rendre ces données accessibles au public. Mais, ce n’est probablement pas non plus la meilleure idée, puisqu’elle inclut les données personnelles de « littéralement des milliards de personnes qui ont été touchées par des violations de données ».

Quelques interrogations

Donc, Hunt indique que l’une des choses qu’il veut faire avant de publier le code source de Have I Been Pwned est de « s’assurer que les mêmes contrôles de confidentialité prévalent sur les données de la violation elle-même, même si la base de code devient plus transparente ».

Cela dit, si l’un des objectifs est de s’assurer que le projet n’est pas seulement entre les mains d’une seule personne, on peut s’interroger si le code source n’implique pas un ensemble de données.