Le mois dernier, le FBI partageait pour la première fois les données des victimes d’une de ses enquêtes — celle sur le gang Emotet — avec le site Have I Been Pwned (HIBP). Gigantesque point de collecte de fuites de données, ce site a une place exceptionnelle dans l’écosystème de la cybersécurité : il permet à des millions d’internautes de savoir gratuitement lorsque leur adresse email ou leur mot de passe a fuité.
En récompense officieuse de ses services, HIBP bénéficie depuis sa création en 2013 d’une forme d’impunité. Il n’est pas inquiété pour sa collecte des fuites de données, une pratique pourtant difficilement compatible avec certaines régulations comme le RGPD. Alors qu’il flirte avec les limites du droit, le site vient combler un vide laissé par ce même droit dans la vie des données personnelles après leur fuite. Au final, les autorités publiques sont bien contentes de pouvoir s’appuyer sur Have I Been Pwned comme partenaire de confiance. À commencer par le FBI : il semblerait que le partage des données d’Emotet ait été un galop d’essai réussi.
Troy Hunt, le fondateur de HIBP, a annoncé sur son blog le 28 mai que désormais, lorsque le FBI découvrira une collection de mots de passe dans ses enquêtes, il pourra les déverser sur Pwned Password, l’onglet de Have I Been Pwned dédié aux mots de passe. D’après Hunt, cette fonctionnalité reçoit près d’un milliard de requêtes par mois, preuve de son succès.
Des mots de passe hashés pour plus de sécurité
Le bureau d’investigation devient ainsi le premier contributeur officiel d’Have I Been Pwned, qui s’appuie depuis sa création sur des envois ponctuels de sources diverses, parfois anonymes. Plus précisément, le FBI confiera au site seulement des mots de passe, et aucune autre information. Ils seront « hashés », c’est-à-dire protégés par un chiffrement (SHA-1 ou NTLM). Par exemple, le hash du mot de passe « 12345 » en SHA-1 devient « 8cb2237d0679ca88db6464eac60da96345513964 ». Bien sûr, les utilisateurs de HIBP n’auront pas à connaître le hash de leur mot de passe, c’est le site qui appliquera le chiffrement pour faire sa recherche. Autrement dit, Troy Hunt ou un éventuel hacker du site ne pourront pas lire les mots de passe en clair, mais le chiffrement n’empêchera pas le bon fonctionnement du site.
17 gouvernements utilisent Pwned Password
Les mots de passe de Pwned Password peuvent être téléchargés ou appelés via une API, et ils sont intégrés à toutes sortes d’outils. Ce fonctionnement signifie que le FBI va rendre publics les hashs des mots de passe des victimes de ses enquêtes. Il faut savoir savoir que déchiffrer les hashs est une tâche particulièrement laborieuse pour les mots de passe complexes, mais qu’il est relativement facile de le faire pour les mots de passe simples. Globalement, l’initiative devrait permettre à des milliers de personnes d’éviter des piratages. Par exemple, 17 gouvernements utilisent le service pour être sûr que leurs employés n’utilisent pas des mots de passe déjà fuités.
Savoir que son mot de passe a fuité est très important. Lorsque des hackers découvrent un mot de passe, ils l’ajoutent à des listes dont ils vont se servir pour essayer de se connecter à toutes sortes de comptes : réseaux sociaux, SVoD, mais aussi adresses et outils professionnels. Si la victime réutilise son mot de passe sur plusieurs comptes, elle perdra le contrôle de ceux-ci.
Pwned Passwords devient aussi open source
Troy Hunt a profité de son blog pour faire une autre annonce, celle de l’ouverture de Pwned Password en open source, un projet auquel il songe depuis août 2020. Concrètement, le code de son outil est disponible sur GitHub et des développeurs en tout genre peuvent proposer leur contribution.
L’intérêt de cette démarche est triple :
- Elle pérennise le projet dans le temps. Aujourd’hui, Have I Been Pwned dépend entièrement de Troy Hunt, et s’il venait à disparaître subitement, le site disparaîtrait avec lui.
- C’est une preuve de transparence importante. En open source, n’importe qui peut vérifier son outil, s’assurer qu’il ne présente pas de vulnérabilité ou encore que Hunt ne ment pas sur son fonctionnement.
- Elle permet d’envisager un vrai développement de l’outil. Hunt a sollicité la fondation .NET pour chapeauter les contributions et gérer la communauté. Il peut suggérer le développement de nouvelles fonctionnalités, tout comme recevoir de nouvelles suggestions d’évolution.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !