Quand un site web se fait pirater, il est censé prévenir ses utilisateurs et leur conseiller de changer de mot de passe par sécurité. Seulement, certaines fuites d’identifiants passent sous le radar. C’est pour cela que le chercheur en sécurité Troy Hunt a créé le site Have I Been Pwned? (« est-ce que je me suis fait avoir ? », abrégé HIBP), qui permet de vérifier si son adresse email ne fait pas partie d’une fuite.
En rassemblant les identifiants issus de nombreuses brèches, la base de données de HIBP comprend au total 3,1 milliards d’adresses emails uniques — qui sont toutes hashées pour des raisons évidentes de sécurité. La vérification se fait de manière sécurisée : l’adresse email que vous saisissez dans le champ de HIBP n’est ni envoyée à un serveur ni enregistrée. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base.
Ce service utile va gagner en popularité. Le gestionnaire de mots de passe 1Password vient de l’intégrer à sa fonction Watchtower sur le web (abonnement à 1Password.com requis). Ainsi, 1Password informe automatiquement l’utilisateur si son adresse email a fuité, à quelle fuite c’est lié, et lui recommande de changer son mot de passe. Cette intégration arrivera plus tard dans l’application de bureau.
Have I Been Pwned? va être encore plus largement disponible en s’intégrant à l’un des principaux navigateurs du marché, Firefox. À partir de la semaine prochaine, Mozilla va inviter environ 250 000 personnes (surtout basées aux États-Unis) à tester cette intégration baptisée Firefox Monitor. Une fois que les tests seront concluants, tous les utilisateurs du navigateur y auront droit.
Troy Hunt détaille sur son blog le fonctionnement technique de Have I Been Pwned? et son intégration à 1Password et Firefox. Le gestionnaire de mots de passe a intégré au début de l’année un autre service du chercheur, Pwned Passwords, qui est consacré aux fuites de mots de passe.
