Si tu ne vas pas à l’information, alors l’information ira à toi. Voilà, résumée à grands traits, la philosophie derrière le partenariat qui est mis en place entre la fondation Mozilla, qui édite le navigateur web Firefox, et le site « Have I Been Pwned ? », qui permet de savoir si l’une de ses adresses de courrier électronique figure dans une base de données qui a été piratée.
Concrètement, l’idée est la suivante : plutôt que de vous laisser vous rendre sur le site de « Have I Been Pwned ? », Firefox va vérifier lui-même si votre mail figure ou non parmi un ensemble d’informations piratées. De cette façon, si votre adresse figure dans une base de données compromise, vous aurez l’information et pourrez prendre les dispositions qui s’imposent.
En effet, Troy Hunt — la personne qui est derrière le projet « Have I Been Pwned ? » — sait bien que tout le monde ne va pas contrôler si ses données personnelles sont en péril. C’est tout le paradoxe : les personnes qui sont a priori familières de la sécurité informatique connaissent et utilisent ce site, alors qu’elles pourraient presque faire sans, tandis que les autres, plus vulnérables, ne connaissent pas son existence.
Le site se propose de tester votre adresse e-mail pour déterminer si elle apparaît dans l’une des nombreuses fuites de données qu’elle a pu analyser. Le site est géré par Troy Hunt, un informaticien reconnu dans le milieu de la sécurité informatique et qui a été distingué par Microsoft.
C’est ce qu’il explique sur son blog : « des 5,1 milliards d’enregistrements qui sont aujourd’hui dans le site, il y a 3,1 milliards d’adresses e-mail uniques. J’atteins 0,06 % d’entre eux via le service de notification et pas beaucoup plus en termes de personnes venant sur le site et faisant une recherche ad hoc (généralement 100 000 à 200 000 personnes par jour) ».
C’est pour renverser cette situation qu’un travail commun a été fait entre Mozilla et Troy Hunt sur l’outil de sécurité Firefox Monitor.
Expérimenté depuis cet après de quelques centaines de milliers d’internautes, le projet est désormais ouvert à tout le monde. En vous rendant sur Firefox Monitor, vous ferez face à une page spéciale hébergée par Mozilla et par laquelle il est possible de vérifier si son mail figure dans une base de données compromise. Il est précisé que le mail n’est pas stocké et qu’un processus d’anonymisation a été prévu.
Anonymisation du mail
Dans la mesure où ce service est amené à traiter de données personnelles, notamment des données personnelles compromises, une attention particulière a été apportée sur la confidentialité des informations. « Il est important de noter que nous ne violons pas les attentes de nos utilisateurs en matière de protection de la vie privée en ce qui concerne le traitement de leur adresse électronique », dit Mozilla.
Pour cela, « nous avons travaillé en étroite collaboration avec ‘Have I Been Pwned ?’ et Cloudflare [une société qui fournit des services à des sites, ndlr] pour créer une méthode de partage de données anonymisées pour Firefox Monitor, qui n’envoie jamais votre adresse mail complète à un tiers, en dehors de Mozilla ». C’est l’approche k-anonymity qui est utilisée pour scanner les comptes exposés.
[floating-quote float= »right »]Une logique de protection de la vie privée dès la conception du service[/quote]
Quand un internaute teste une adresse mail via Firefox Monitor, celui-ci produit une empreinte et seuls les six premiers caractères de cette empreinte sont envoyés à l’API de « Have I Been Pwned ? ». Le site adresse alors une réponse avec toutes les empreintes ayant cette valeur, moins les six premiers caractères et Firefox Monitor vérifie si l’une d’elles correspond à l’empreinte totale du mail.
Dans ces conditions, le mail n’est jamais transmis en clair et les empreintes d’un côté comme de l’autre ne sont jamais transmises intégralement. Seules des portions utiles sont manipulées et des comparaisons sont ensuite effectuées de chaque côté pour faire émerger des concordances. Si c’est le cas, alors le service indiquera à l’internaute pour quel site la correspondance a été faite.
Le dispositif, prometteur, n’en est toutefois qu’à ses débuts. Une phase de test s’ouvre avec quelques 250 000 internautes mais aucun calendrier à plus long terme n’est pour l’instant établir. « Une fois que nous serons satisfaits des tests utilisateurs, nous travaillerons à rendre le service disponible à tous », prévient la fondation. Mais le jeu en vaut largement la chandelle.
(article mis à jour avec l’ouverture du service)
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !