10 000 000 000 de lignes de données, voici le dernier pallier passé par Have I Been Pwned. Ce site permet aux utilisateurs de vérifier gratuitement si leur adresse e-mail fait partie d'une fuite de données. Mais malgré ce nombre gigantesque, il ne s'agit que d'une fraction des données en circulation. Troy Hunt, son fondateur, a du travail devant lui.

10 000 000 000 de lignes de données dont « à peu près la moitié » d’adresses email uniques. Le site de référence sur les fuites de données Have I Been Pwned a passé un nouveau pallier historique en ajoutant les près de 269 millions de lignes de données de la fuite de Wattpad.

Créé en 2013 et géré en solo par l’Australien Troy Hunt, Have I Been Pwned — traduisible en « ai-je été piraté ? » — collecte toutes les fuites de données accessibles publiquement. Il se sert de cette montagne de données pour offrir un service de prévention au grand public, le tout gratuitement. Il vous suffit d’entrer votre adresse email sur le site pour qu’il la cherche parmi les centaines de bases de données qu’il a collectées en 7 ans d’existence.

S’il trouve une entrée correspondante, le site vous indiquera sur quelle fuite il a trouvé vos données, et quels types de données ont également fuité. Have I Been Pwned vous propose également de vous envoyer un email de notification s’il télécharge une base contenant votre email. Parfois la base de données qui contient votre email est clairement affiliée à une entreprise, d’autres fois à une liste de spam, et parfois il est tout simplement impossible de l’attribuer. Essayez : vous serez sûrement étonnés de retrouver votre adresse présente dans des fuites de services dont vous vous rappelez à peine le nom.

Chaque semaine, plusieurs fuites de données sont rendues publiques. Have I Been Pwned indexe toutes celles qu’il trouve. // Source : Louise Audry pour Numerama

Vous pourrez ainsi réagir si, par exemple, vous réutilisez un mot de passe sur un autre service. Ou plus généralement, vous serez conscients du type de données que des cybercriminels pourraient détenir sur vous. C’est important : les malfaiteurs se servent souvent de ces fuites pour rendre leurs manœuvres de phishing plus convaincantes, ou pour pirater d’autres comptes de leurs victimes.

L’email, mais sans informations attachées

Avant le lancement de Have I Been Pwned (HIBP) en 2013, aucun site ne centralisait les fuites de données publiques. Des outils amateurs étaient ponctuellement créés à chaque nouvelle fuite, afin de faciliter la recherche des ses données dans cette fuite particulière.

Troy Hunt a lui lancé son site avec 154 millions de lignes de données issues très majoritairement de la fuite de Adobe de l’époque (152 millions de lignes) en plus de 4 autres bases de données (dont celles de Yahoo ! et Sony). Il a dû, dès le début, adresser la question du stockage, et ses précautions se sont avérées utiles, puisque 3 ans plus tard, le site a dépassé la barre du milliard de lignes de données.

L’Australien a fait d’emblée un choix fort : il ne garderait que les adresses email, et ne les lierait jamais avec les mots de passe fuités. Justifiée par des considérations éthiques, cette décision le mène à ne pas indexer de gigantesques fuites de données, comme celle de LinkedIn, lors qu’elles ne contiennent pas d’adresse email.

Un sous-domaine pour les mots de passe

Hunt a tout de même fini par lancer un sous-domaine de Have I Been Pwned, qui permet de trouver toutes les récurrences d’un mot de passe, toujours sans les lier à l’email. Si votre mot de passe est reconnu par le site, il vous conseille de la changer sur tous les services où vous l’utiliseriez. À titre d’exemple, HIBP retrouve plus de 23 millions de fois le mot de passe « 123456 » dans sa base de données.

Des entreprises comme Firefox ou 1password achètent un accès à ces bases de données pour prévenir les utilisateurs de leurs produits quand ils veulent choisir un mot de passe déjà compromis. Ces contrats sont un moyen pour Troy Hunt de payer pour les coûts liés à son site. Gratuit et sans publicité, il ne devrait survivre sinon qu’avec des donations.

Achat annulé et limite du one man site

En juin 2019, l’Australien, débordé par la charge de travail, a songé à faire passer son site à l’échelle supérieure. Il a alors lancé une procédure de vente, avec une condition essentielle : il devait rester au cœur du fonctionnement du site. En mars 2020, il a finalement renoncé à faire aboutir cette procédure. « La possibilité pour le public de gratuitement prendre connaissance de son exposition dans des fuites de données sans inquiétudes aux sujets de mes motivations ou de mes influences est au cœur de ce service », explique-t-il dans son dernier billet de blog.

La décision a rassuré bon nombre d’utilisateurs du service, mais elle n’a pas résolu le  principal problème de HIPIB : le site, pourtant d’intérêt public, dépend entièrement de Troy Hunt.  Que se passe-t-il s’il est mangé par un requin, s’amuse-t-il dans une interview donnée à Techcrunch. S’il ne veut ou ne peut pas travailler, la base de données de HIPIB ne sera pas renforcée, alors même qu’elle ne présente déjà que la face émergée de l’iceberg des fuites de données.

La face émergée de l’iceberg

L’Australien ne fait en effet « que » indexer des bases de données qui lui sont communiquées ou qu’il trouve lui-même, toujours gratuitement. Il en existe bien d’autres, de petites et de grandes tailles, connues et encore inconnues, échangées sur des forums de hackers ou détenues précieusement par une seule organisation. Peut-être qu’elles aboutiront un jour sur Have I Been Pwned dans le futur. Mais en attendant, ne pas trouver son adresse sur HIPIB ne garantit pas qu’elle n’a pas fuité. « Nous avons perdu le contrôle de données en tant qu’individus », déplore Troy Hunt auprès Techcrunch. Lui-même, pourtant conscient des enjeux, a été «  pwned » plus de 20 fois.

Mais Have I Been Pwned n’est pas condamné à rester — relativement — confidentiel. Son créateur a déjà des projets pour le futur du site : «  Plus que jamais, les suggestions comme passer tout le projet en open source font sens, et c’est quelque chose que je considère réellement, en plus de continuer à travailler avec des organisations à but non lucratif, qui vont prioriser le service, et non les dollars. »

 

Crédit photo de la une : Have I Been Pwned

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux