Le FBI va partager les identifiants volés découverts lors de ses enquêtes
Le service «Have I been Pwned», qui permet de vérifier si une adresse mail ou un mot de passe a été piraté, entame une collaboration avec le FBI. Il s'agit de développer une fonction permettant à l'agence fédérale de rapidement partager les identifiants compromis qu’elle découvre lors d'enquêtes. Un projet qui intervient dans le cadre du passage en open source de l’outil.
A chaque annonce de fuite de données personnelles, le site «Have I been Pwned» (HIBP) revient sous les feux de l'actualité. Ce service en ligne, qui permet à tout un chacun de vérifier gratuitement si son adresse mail ou l’un de ses mots de passe a été piraté, disposera d’une source complémentaire: le FBI. Créateur de l’outil, Troy Hunt explique sur son blog que l’agence fédérale US l’a directement contacté pour savoir comment partager avec HIBP leur propre base de données d’identifiants compromis découverts lors d’enquêtes.
Développement en open source
La plateforme HIBP ne dispose toutefois pas encore d’un moyen simple qui permettrait à une tierce partie de directement alimentée la base de données. Troy Hunt appelle ainsi la communauté open source à participer au développement de cette fonctionnalité. L’outil est justement passé en open source récemment. Baptisé Pwned Passwords, le projet est géré par la fondation .NET. L’idée est de mettre au point un système d'entrée des données sous forme chiffrée. «Les mots de passe seront fournis sous forme de paires de hachage SHA-1 et NTLM, ce qui s'aligne parfaitement sur les constructions de stockage actuelles de Pwned Passwords (je n'en ai pas besoin en texte brut)», explique Troy Hunt.
«Nous sommes ravis de nous associer à HIBP dans le cadre de cet important projet visant à protéger les victimes de vol d’identifiants en ligne. C'est un exemple supplémentaire de l'importance des partenariats public/privé dans la lutte contre la cybercriminalité», a déclaré Bryan A. Vorndran, directeur adjoint de la division cybernétique du FBI.
Les données de «Have I been Pwned» ne sont pas uniquement accessibles via le site éponyme. Le service propose déjà une API afin d'être intégré à des solutions tierces.
Troy Hunt avait passablement étoffé sa base de données début 2019, en découvrant un dossier de 87 Go dont les milliers de fichiers totalisent 2’692’818’238 lignes de d'adresses email et de mots de passe. Plus récemment, HIBP s’est agrémenté des adresses mails de 533 millions d'utilisateurs de Facebook concernés par une brèche.
