LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le site web Have I Been Pwned, permettant de vérifier si un mot de passe est en fuite, annonce une coopération avec le FBI. La célèbre agence américaine va alimenter la base de données du service avec les mots de passe récupérés auprès des cybercriminels arrêtés, même lorsqu'on ignore comment les hackers s'en sont emparés…
En cas de fuite de données, il semble normal qu'une entreprise prévienne ses clients. En Europe, le RGPD oblige même les organisations à le faire.
Malheureusement, l'entreprise elle-même ne réalise pas toujours l'envergure réelle d'une » Data Breach « . Même en faisant de son mieux pour identifier les victimes et les avertir, elle n'a pas toujours les coordonnées de contact à jour.
Pour remédier à ce problème, le chercheur australien Troy Hunt a créé le site web » Have I Been Pwned « . Cette plateforme fut créée en 2013, suite à la fuite de données massive éprouvée par Adobe.
Suite à une cyberattaque, les mots de passe de plus de 150 millions de clients du géant américain avaient été révélés. À l'époque, cet incident a démontré que même les plus grands conglomérats ne sont pas à l'abri des hackers…
Avec » HIBP « , l'objectif de Troy Hunt était de permettre à chaque internaute de vérifier si l'un de ses comptes est compromis par une fuite de données connue. Un outil extrêmement utile pour prendre les mesures adéquates avant qu'il ne soit trop tard.
Mais en fait, comment fonctionne » Have I Been Pwned » ? Pour permettre à chacun de vérifier très facilement si ses données sont compromises, le chercheur a constitué une vaste collection regroupant toutes les informations personnelles rendues publiques lors d'une fuite.
En huit ans, Troy Hunt a regroupé des milliards de données issues de plus de 500 fuites. Autant dire que les » Data Breaches » sont devenues monnaie courante au fil des dernières années, comme le souligne d'ailleurs Mark Zuckerberg de Facebook dans un mail confidentiel.
Fort heureusement, d'ordinaire, les mots de passe sont stockés par les sites web sous une forme » hashée » et » salée « . Même si les cybercriminels mettent la main sur les données, ils ne sont normalement pas en mesure de les déchiffrer.
Have I Been Pwned : le FBI va fournir les mots de passe retrouvés chez les hackers
I'm very happy to announce that @haveibeenpwned's Pwned Passwords is now open source under the @dotnetfdn. Now we've got some work to do: building an ingestion pipeline for new passwords provided by the @FBI on an ongoing basis. This is super cool 😎 https://t.co/iM17zemmwE
— Troy Hunt (@troyhunt) May 27, 2021
Il arrive toutefois que certains sites web commettent l'erreur de stocker les données en clair. Même Google ou Facebook ont pu admettre avoir commis cette grave maladresse par le passé.
En outre, les malwares de type Keylogging peuvent permettre aux hackers de découvrir les mots de passe que vous tapez sur le clavier. D'autres malwares peuvent s'emparer des mots de passe sur les serveurs des sites web pendant le processus de vérification.
Face à ce danger, Troy Hunt a créé un autre service : Pwned Passwords. Cette plateforme permet quant à elle de chercher son mot de passe parmi une collection de 600 millions déjà révélés au grand jour. Si vous trouvez votre mot de passe, il est capital de le changer immédiatement sur les sites web où vous l'utilisez.
À présent, afin de contribuer à cet effort de cybersécurité, le FBI a choisi de coopérer avec Have I Been Pwned. La célèbre agence américaine, souvent confrontée à des mots de passe en fuite, a contacté Troy Hunt dans le but d'alimenter les plateformes HIBP et Pwned Passwords.
Ces mots de passe ne proviennent pas de notifications des entreprises concernées, mais directement des enquêtes menées par le FBI et des perquisitions menées chez les cybercriminels. Désormais, il sera donc possible de savoir si un mot de passe est en fuite même si l'on ignore comment un hacker s'en est emparé.
Cette collaboration avec le FBI va donc fortement augmenter l'intérêt de Have I Been Pwned. De plus, la plateforme est désormais Open Source sous la licence dotnetfdn.
- Partager l'article :
