La vie des données personnelles après leur fuite soulève de nombreuses questions légales comme éthiques. Peut-on les utiliser ces données obtenues illégalement, même pour protéger les victimes ? La loi semble indiquer que non, mais un site, Have I Been Pwned, a imposé son pragmatisme.

À chaque fuite de données médiatisée, le grand public se pose logiquement une question : est-ce que mes informations personnelles en font partie ? Et presque à chaque fois, des sites sont créés sur-mesure pour répondre à la question. Le récent épisode autour des 500 millions de numéros de téléphones dérobés sur Facebook en est un énième exemple. Dès le lendemain, des sites comme haveibeenzucked.com ou haveibeenfacebooked.com voyaient le jour. Il suffisait d’y entrer des informations personnelles (numéro de téléphone, nom) pour savoir si oui ou non, on faisait partie de la fuite des données.

Le plus souvent, les médias, et donc le grand public, s’intéressent aux fuites de données lorsqu’elles deviennent accessibles au plus grand nombre. Par exemple, pour obtenir la fuite de données de Facebook, il suffisait de se connecter à un forum d’échange de données très connu, accessible depuis n’importe quel navigateur. Ensuite, il ne restait plus qu’à dépenser quelques crédits du site (l’équivalent de 2 euros) pour débloquer le lien vers un des espaces de téléchargement. Rapidement, ces liens sont même devenus accessibles sans payer sur d’autres sites.

« Je te vois » propose un outil pour vérifier sa présence dans la fuite de Facebook. // Source : Capture d’écran Numerama sur jetevois.fr

Cybercriminels, chercheurs en cybersécurité, journalistes, mais aussi tout un ensemble de curieux se sont procurés la base de données. Et certains d’entre eux ont voulu se rendre utiles. C’est le cas de Pierre-Baptiste, étudiant en école de commerce qui a monté avec son ami sorti d’école d’ingénieur un projet bénévole autour de la « big data », baptisé « Je te vois ». Le week-end de l’incident, le duo a constaté la demande croissante des Français : ils voulaient savoir si oui ou non leurs données étaient dans la base.

Comme Pierre-Baptiste l’explique à Cyberguerre, ils ont donc récupéré le lien d’un morceau de la base de données — celui avec les 20 millions de numéros Français — sur un groupe Telegram. Ensuite, ils l’ont épuré « par souci de confidentialité » en ne gardant que les numéros de téléphone, et l’ont attaché à leur outil de recherche. Résultat, les Français et Françaises pouvaient (et peuvent toujours) entrer leur numéro de téléphone sur l’outil pour savoir s’ils font partie des victimes.

Les deux amis ont soigné la présentation du site, et indiqué plusieurs liens utiles pour comprendre les enjeux de la fuite. « Je te vois » n’affiche pas de publicité et ne vend par ailleurs aucun produit ou service. Bref : l’initiative semble de bonne foi et désintéressée. Mais avec leur plateforme, les deux jeunes hommes se sont introduits dans une zone grise du droit : celle de la vie des données personnelles après leur fuite. Une zone dans laquelle de nombreuses personnes entrent à chaque fuite de données, mais où un seul site semble toléré sur le long terme par les autorités. Son nom ? Have I Been Pwned.

Have I Been Pwned, référence incontestée

Have I Been Pwned (HIBP, qui peut se traduire en «  me suis-je fait avoir ?  ») existe depuis 2013, et il a toujours été dirigé par un seul homme, son fondateur Troy Hunt. Aujourd’hui, cet Australien peut être considéré comme « Monsieur Fuites de données », puisqu’il est le visage du site devenu référence incontestée sur le sujet. «  Have I Been Pwned est construit sur un questionnement simple : un incident a eu lieu, on ne peut pas le réparer, alors quelle est la meilleure chose à faire ? » résume l’entrepreneur, interrogé par Cyberguerre, avant d’ajouter : «  Il n’y a pas de solution parfaite dans la gestion des fuites de données. »

Véritable pionnier de cette zone grise autour des fuites, Hunt a assisté à leur multiplication ces dernières années. Il a aussi pu suivre de près le renforcement des lois, et notamment l’entrée en vigueur du règlement général sur la protection des données (RGPD) en 2018, un texte marquant de la défense des données personnelles.

Troy Hunt, le fondateur et homme-orchestre de Have I Been Pwned, tient un point hebdomadaire à destination de sa communauté. // Source : YouTube Troy Hunt

Aujourd’hui, HIBP propose aux visiteurs de chercher leur adresse email — et à de rares exceptions, d’autres données — parmi plus de 10 milliards de lignes de données issues de fuites. Le site indique ensuite dans quelle fuite se trouvait l’email, son historique, et quels autres types d’informations y étaient associés. Ces recherches se font sur des bases de données épurées par Hunt, où il ne reste que l’adresse email, le dénominateur commun le plus courant entre les fuites. La cause de cette précaution ? Si le site se fait un jour pirater, la catastrophe sera moindre, puisque les hackers n’auront accès qu’à cette information.

Troy Hunt ne cherche pas les bases de données lui-même : c’est sa communauté qui les lui envoie. À Cyberguerre, il confie en recevoir « plus de 3 par jour », qu’il décide ou non d’ajouter à son site en fonction de ses propres critères éthiques. Son objectif n’est pas de créer la plus grosse base de données fuitée du monde, mais de simplement indexer celles qui auront de l’intérêt pour le grand public. Ce fonctionnement par contribution lui permet de ne plus mettre les mains dans les plateformes illégales où s’échangent les données, mais il a un revers : si la base de données ne lui est pas envoyée… et bien elle ne figurera jamais sur Have I Been Pwned.

La bonne volonté ne suffit pas face à la loi

Fin février 2021, une fuite de données de 500 000 patients français concentrait l’inquiétude à l’échelle nationale, mais les jours passaient sans qu’elle n’apparaisse sur Have I Been Pwned. Contacté par Cyberguerre à l’époque, Troy Hunt affirmait pourtant que la fuite de données était suffisamment grave pour qu’il l’indexe s’il la recevait.

Sans Have I Been Pwned, les victimes n’ont eu d’autres choix que de se tourner vers un des deux sites créés pour l’occasion, afin de savoir si ou ou non, elles étaient affectées par la fuite. Problème : ces initiatives ne sont qu’à peine tolérées par l’autorité française des données, la Commission nationale de l’informatique et des libertés (Cnil). « De façon générale, tout ce que nous pouvons dire, c’est que ce type d’outils nécessite le traitement de données personnelles et qu’ils doivent par conséquent être conformes à la Loi Informatique et Libertés et au RGPD », expliquait la Commission à Cyberguerre. Une façon de désapprouver de façon passive les outils, leur conformité au RGPD étant par nature impossible, malgré d’abondantes précautions.

L’autorité des données italienne a quant à elle tranché dans le vif sur le cas haveibeenfacebooked.com, créé pour la récente fuite de numéros de téléphone : « Le Garant [nom de l’autorité italienne, ndlr] avertit quiconque est entré en possession de données à caractère personnel suite à la violation, que leur utilisation éventuelle, même à des fins positives, est interdite par la législation sur la vie privée, ces informations étant le résultat d’un traitement illégal. » Depuis la publication de ce communiqué, le site affiche qu’il est «  indisponible pour raisons légales », mais heureusement, HIBP a pris son relais.

« Indisponible pour raisons légales » affiche une copie de Have I Been Pwned dédié à la fuite de Facebook. // Source : Capture d’écran Numerama

Dans son dernier blog daté du 6 avril 2021, Troy Hunt constatait « l’émergence soudaine de clones d’HIBP ». Et s’il se dit « flatté de l’influence de son projet », il rappelle qu’il est difficile de savoir quel degré de confiance les victimes peuvent accorder à ces initiatives. Pour cause : il faut se fier au créateur de l’outil tant dans la vérification du contenu de la fuite, que dans la protection du traitement des données. Or,  bon nombre de clones d’HIBP sont l’œuvre d’étudiants comme Pierre-Baptiste ou de professionnels dont la réputation est difficile à évaluer. Difficile de garantir qu’ils ont indexé la bonne fuite, ou qu’ils prennent les précautions suffisantes pour protéger les victimes de la fuite. Et ce malgré les efforts de transparence et la bonne volonté des développeurs.

Have I Been Pwned dispose d’un laissez-passer unique

Cette relation de confiance est le principal atout de Have I Been Pwned. En 7 ans, le Troy Hunt a eu le temps de se poser de nombreuses questions sur les limites légales et éthiques de son activité ; et de se confronter à toutes sortes de cas de figure.

Encore aujourd’hui, il défend une forme de pragmatisme : « Ces données personnelles sont obtenues par des activités illégales, puis sont partagées sur différents réseaux. D’un côté, on peut regarder les lois de protection de la vie privée, qui indiquent qu’il faudrait avoir le consentement des victimes pour détenir les données. De l’autre, la donnée est déjà accessible à n’importe qui, et on ne peut pas la remettre là d’où elle vient. Je prends souvent la métaphore du pipi dans la piscine : vous pouvez écoper autant que vous voulez, vous ne pourrez pas le retirer, il est déjà dilué.  »

Have I Been Pwned peut-il exister sans son fondateur ?

Malgré l’émergence des nouvelles lois, HIBP n’a jamais été inquiété, nous confie Troy Hunt. Et l’entrepreneur est lucide sur les raisons du laisser-faire dont il bénéficie : « Je peux faire cette activité parce que j’ai de bonnes relations et parce que je le fais depuis longtemps ». Globe-trotter lorsque la situation sanitaire le permet, l’Australien a rencontré ces dernières années autorités et régulateurs de dizaines de pays. D’ailleurs, il en a convaincu bon nombre d’intégrer Have I Been Pwned à leurs outils. Parmi ses utilisateurs, il compte le FBI ou encore de Department of Homeland Security. « Je suis très ouvert sur la façon dont j’utilise les données. Cela fait 7 ans que je rencontre ces agences, ils savent que mes actions sont légitimes », justifie-t-il. Une façon de dire que la fin justifie les moyens.

Ces dernières années, Troy Hunt, au bord du burn-out, a tenté de partager les commandes de son précieux projet. L’objectif : faire grandir le site et le pérenniser, tout en gardant des responsabilités dans la nouvelle structure. Malgré des essais presque aboutis, il n’a pas trouvé le bon repreneur. Alors il a annulé la vente, et a conservé les commandes de son site, qu’il continue de piloter seul. Pour l’instant, ce système fonctionne. Mais qui s’occupera des fuites de données quand il prendra une retraite bien méritée ? Have I Been Pwned continuera-t-il à bénéficier de la même impunité ? Qui préviendra les victimes de fuite que leurs données sont compromises ?

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux