Have I Been Pwned se tourne vers l’open source

Have I Been Pwned, le service qui enregistre les brèches de données et permet aux individus de rechercher s’ils ont été affectés, est sur le point de devenir open-source. Selon son fondateur, cela permettra d’avoir une transparence supplémentaire et des fonctionnalités améliorant la sécurité.

Have I Been Pwned, qui a été lancé en 2013, propose une gamme de services: il existe un service gratuit pour les personnes souhaitant savoir si leurs noms d’utilisateur et mots de passe ont été compromis lors d’une brèche de données; il offre également des services commerciaux comprenant des alertes pour les membres de programmes de vol d’identité; et il permet aux entreprises infosec de fournir des services à leurs clients comme la protection en ligne contre les attaques de bourrage d’informations d’identification, la prévention des transactions financières frauduleuses et l’assistance aux gouvernements et aux forces de l’ordre dans les enquêtes.

En Juin dernier, le propriétaire Troy Hunt s’est lancé dans le «Projet Svalbard», qui était une tentative de trouver un acheteur pour Have I Been Pwned. L’échec du «processus de fusions-acquisitions», comme il l’appelle, a été déclenché par «quelque chose proche de l’épuisement professionnel», avait-il déclaré à l’époque.

have i been pwned

Il a expliqué que ses responsabilités en matière de maintien de Have I Been Pwned avaient augmenté, ce qui l’a amené à réduire d’autres choses, comme le maintien de sa présence sur les réseaux sociaux comme Twitter et la rédaction d’articles de blog techniques. Il prenait égalemnt la parole lors de conférences dans le monde entier, téléchargeait des vidéos hebdomadaires et participait à des événements de l’industrie.

Puisqu’un acheteur compétent ne s’est pas présenté, le prochain plan consiste à rendre le code du service accessible au public.

“Le code sera accessible au public pour l’amélioration du projet et franchement, pour le bien de tous ceux qui l’utilisent”, a déclaré Hunt dans un article de blog annonçant le plan. «L’objectif le plus important [est] de rechercher un avenir plus durable pour Have I Been Pawned… le projet ne peut pas dépendre uniquement de moi.»

Have I Been Pwned est déjà un peu ouvert

Déjà, Have I Been Pwned est assez «ouvert», a-t-il noté. Il utilise des services gratuits “comme Cloudflare”, les projets open-source Visual Studio Code et Ghost (ainsi que plusieurs bibliothèques open-source) et met en œuvre un certain nombre de contributions communautaires, dont beaucoup sont accessibles au public. Mais ouvrir complètement la porte pour permettre aux gens de contribuer et notamment de bricoler le code sera un effort entièrement supérieur, a noté Hunt.

«Je parle également de l’open source en termes d’acceptation de contributions», a-t-il écrit. Il a ajouté: «Tout ces backlogs, tous ces bugs, toutes les nouvelles idées géniales que les gens ont mais que je ne peux tout simplement pas mettre en œuvre moi-même peuvent, si la communauté le souhaite, être enfin ajoutés au projet.»

have i been pwned

Il a noté qu’il ne s’agissait pas d’un code élégant, mais il a hâte de faire participer la communauté à la résolution de tout problème: «J’ai travaillé par à-coup , souvent depuis un ordinateur portable en voyage, jetlagué et préoccupé, ” il a dit. «J’ai pris des raccourcis. J’ai bidouillé des trucs assez désordonnés. […] quand vous êtes la seule personne à toucher un projet, vous pouvez vous en tirer avec tout cela, mais pas une fois que vous avez commencé à ouvrir la source de code. “

Cette décision apaisera également les préoccupations des utilisateurs selon lesquelles Have I Been Pwned pourrait collecter des données à leur sujet ou sur leurs recherches.

«Les gens se sont souvent demandé si j’enregistrais des recherches afin de créer une nouvelle liste d’adresses e-mail», a-t-il déclaré. “Non, je ne le fais pas, mais pour le moment, cette affirmation se résume en fait à” faites-moi confiance “. Afficher le code – le code réel – et démontrer que les choses ne sont pas enregistrées est une chose très différente.”

En ce qui concerne la protection des données personnelles liées aux brèches qui constituent la base de données de Have I Been Pwned et sa raison d’être, Hunt a noté que tout cela provient d’une activité criminelle sous la forme de vol d’informations, et en tant que tel, la plupart de ces données sont déjà en circulation publique sur le marché et a traversé de nombreuses mains. Ces données ont également été accédées par de nombreuses personnes: «Les grandes entreprises de technologie, par exemple, récupèrent précisément les brèches qui sont présentées dans Have I Been Pwned et les utilisent pour identifier la réutilisation des informations d’identification sur leurs propres plates-formes», a déclaré Hunt.

Cependant, «je dois toujours m’assurer que les mêmes contrôles de confidentialité prévalent sur les données des brèches elles-mêmes, même si la base de code devient plus transparente. Ce n’est pas trivial. Faisable, mais non trivial. »

En ce qui concerne les détails supplémentaires sur le processus open-source, Hunt a demandé de lui donner un peu de temps. Et il a souligné que plutôt que de jeter toute le code sur GitHub, il prévoyait de la divulguer par étapes, chronologie à déterminer.

«Je dois choisir les bonnes parties du projet pour m’ouvrir de la bonne manière au bon moment», a-t-il déclaré. “La transition de complètement fermé à complètement ouvert se fera progressivement, petit à petit et d’une manière à la fois gérable et responsable.”

Il a ajouté: “Je veux arriver à un point où tout est possible. Je veux que la configuration de l’infrastructure soit également ouverte et je veux que l’ensemble soit auto-suffisant par la communauté.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x