Vous connaissez sans doute le site Have I Been Pwned?, qui permet de savoir si votre adresse email ou vos mots de passe ont été compromis. Après avoir entré vos informations, le site va analyser plusieurs bases de données qui ont fuité et vérifier si les vôtres s'y trouvent, le tout de manière sécurisé. Lancé en 2013 par l'expert en sécurité Troy Hunt, le site est un succès : Hunt déclarait 150 000 visiteurs uniques par jour en 2019, et jusqu'à 10 millions lors de journées particulièrement actives. Dans un billet de blog, le développeur a dévoilé deux nouvelles importantes pour l'avenir du site.
Comme ambitionné depuis l'année dernière, le projet est désormais open source (c'est le code faisant fonctionner le site qui est rendu public, pas son immense base de données pour des raisons de sécurité, mais des API sont disponibles pour en tirer parti). Cette solution semble la plus adaptée au créateur pour la longévité du site. Elle permet également de rendre transparent ce projet maniant des données sensibles tout en permettant au plus grand nombre de s'en servir. Have I Been Pwned? est d'ailleurs déjà utilisé par 1Password et par Firefox.
Cette transition vers l'open source s'est faite grâce à la Fondation .Net. Elle a pu être réalisée facilement car le code est assez simple, le site est à but non commercial et les données utilisées sont libres.
Deuxième annonce : le projet va bientôt fonctionner en partenariat avec le FBI, qui pourra alimenter le site avec les mots de passe compromis qu'ils interceptent (ceux-ci seront transmis au site sous forme de paires d’empreintes SHA-1 et NTLM). Selon Hunt, cela permettra de rendre de nouvelles bases de données accessibles au public très rapidement, le FBI pouvant alimenter le site jusqu'à 1 milliard de fois par mois avec une fréquence variable selon les enquêtes. Cependant, cela n'est pas encore opérationnel car il manque une partie de code. Celle-ci va être écrite de manière collective dans un premier projet open source.
