Le FBI va déverser les collections de mots de passe compromis qu'il découvre dans ses enquêtes sur Pwned Password, la section de Have I Been Pwned dédiée aux mots de passe. Une bonne nouvelle pour les victimes des fuites de données.

Le mois dernier, le FBI partageait pour la première fois les données des victimes d’une de ses enquêtes — celle sur le gang Emotet — avec le site Have I Been Pwned (HIBP). Gigantesque point de collecte de fuites de données, ce site a une place exceptionnelle dans l’écosystème de la cybersécurité : il permet à des millions d’internautes de savoir gratuitement lorsque leur adresse email ou leur mot de passe a fuité.

En récompense officieuse de ses services, HIBP bénéficie depuis sa création en 2013 d’une forme d’impunité. Il n’est pas inquiété pour sa collecte des fuites de données, une pratique pourtant difficilement compatible avec certaines régulations comme le RGPD.  Alors qu’il flirte avec les limites du droit, le site vient combler un vide laissé par ce même droit dans la vie des données personnelles après leur fuite. Au final, les autorités publiques sont bien contentes de pouvoir s’appuyer sur Have I Been Pwned comme partenaire de confiance. À commencer par le FBI : il semblerait que le partage des données d’Emotet ait été un galop d’essai réussi.

Have I Been Pwned a noué un partenariat inédit avec le FBI. // Source : Louise Audry pour Numerama

Troy Hunt, le fondateur de HIBP, a annoncé sur son blog le 28 mai que désormais, lorsque le FBI découvrira une collection de mots de passe dans ses enquêtes, il pourra les déverser sur Pwned Password, l’onglet de Have I Been Pwned dédié aux mots de passe. D’après Hunt, cette fonctionnalité reçoit près d’un milliard de requêtes par mois, preuve de son succès.

Des mots de passe hashés pour plus de sécurité

Le bureau d’investigation devient ainsi le premier contributeur officiel d’Have I Been Pwned, qui s’appuie depuis sa création sur des envois ponctuels de sources diverses, parfois anonymes. Plus précisément, le FBI confiera au site seulement des mots de passe, et aucune autre information. Ils seront « hashés », c’est-à-dire protégés par un chiffrement (SHA-1 ou NTLM). Par exemple, le hash du mot de passe « 12345 » en SHA-1 devient « 8cb2237d0679ca88db6464eac60da96345513964 ». Bien sûr, les utilisateurs de HIBP n’auront pas à connaître le hash de leur mot de passe, c’est le site qui appliquera le chiffrement pour faire sa recherche. Autrement dit, Troy Hunt ou un éventuel hacker du site ne pourront pas lire les mots de passe en clair, mais le chiffrement n’empêchera pas le bon fonctionnement du site.

17 gouvernements utilisent Pwned Password

Les mots de passe de Pwned Password peuvent être téléchargés ou appelés via une API, et ils sont intégrés à toutes sortes d’outils. Ce fonctionnement signifie que le FBI va rendre publics les hashs des mots de passe des victimes de ses enquêtes. Il faut savoir savoir que déchiffrer les hashs est une tâche particulièrement laborieuse pour les mots de passe complexes, mais qu’il est relativement facile de le faire pour les mots de passe simples. Globalement, l’initiative devrait permettre à des milliers de personnes d’éviter des piratages. Par exemple, 17 gouvernements utilisent le service pour être sûr que leurs employés n’utilisent pas des mots de passe déjà fuités.

Savoir que son mot de passe a fuité est très important. Lorsque des hackers découvrent un mot de passe, ils l’ajoutent à des listes dont ils vont se servir pour essayer de se connecter à toutes sortes de comptes : réseaux sociaux, SVoD, mais aussi adresses et outils professionnels. Si la victime réutilise son mot de passe sur plusieurs comptes, elle perdra le contrôle de ceux-ci.

Pwned Passwords devient aussi open source

Troy Hunt a profité de son blog pour faire une autre annonce, celle de l’ouverture de Pwned Password en open source, un projet auquel il songe depuis août 2020. Concrètement, le code de son outil est disponible sur GitHub et des développeurs en tout genre peuvent proposer leur contribution.

L’intérêt de cette démarche est triple :

  • Elle pérennise le projet dans le temps. Aujourd’hui, Have I Been Pwned dépend entièrement de Troy Hunt, et s’il venait à disparaître subitement, le site disparaîtrait avec lui.
  • C’est une preuve de transparence importante. En open source, n’importe qui peut vérifier son outil, s’assurer qu’il ne présente pas de vulnérabilité ou encore que Hunt ne ment pas sur son fonctionnement.
  • Elle permet d’envisager un vrai développement de l’outil. Hunt a sollicité la fondation .NET pour chapeauter les contributions et gérer la communauté. Il peut suggérer le développement de nouvelles fonctionnalités, tout comme recevoir de nouvelles suggestions d’évolution.

Crédit photo de la une : Troy Hunt

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux