Publié dans Économie

23

Have I Been Pwned n’est plus à vendre

Have I Been Pwned n’est plus à vendre

Troy Hunt l’a annoncé lundi soir : après avoir passé onze mois à chercher un acquéreur, il renonce à l’idée. Son service restera donc indépendant. Il permet pour rappel de savoir si des identifiants et mots de passe ont été volés au cours d’une attaque.

Dans un long billet de blog, il revient sur le projet Svalbard (du nom de l’archipel arctique où se trouve notamment la Réserve mondiale de semences), nom donné à son projet de vente. Il explique comment le long processus fut parsemé d'embûches.

Il évoque ses critères de sélection stricts, notamment sur la manière dont seraient gérées les données, et comment il a abouti à une seule entité, non nommée mais présentée initialement comme « idéale ». Cette structure aurait cependant modifié son modèle commercial dans les derniers temps. Le jugeant finalement inadapté, Troy Hunt a annulé l’opération.

Il n’est pas prévu d’autre campagne de recherche, et Have I Been Pwned restera indépendant, même si Hunt ajoute que la structure doit se renforcer, notamment au travers de partenariats. 

Puisqu’il s’agit d’une entreprise, des liens ont déjà été tissés avec d’autres, notamment la fondation Mozilla (dans Firefox Monitor) et Cloudflare. Troy Hunt ajoute que cinq nouveaux gouvernements participent : l’Autriche, l’Irlande, la Norvège, la Suisse et le Danemark. Un sixième devrait être annoncé dans les jours qui viennent.

Sur les onze derniers mois, le service a enregistré 77 nouvelles fuites de données, pour un total de 1,7 milliard d’enregistrements. Environ 400 000 personnes se sont également inscrites au service.

Enfin, Hunt précise avoir dans ses cartons un projet sur lequel il travaille depuis deux ans et ayant trait à la manière dont l’industrie traite le flot des fuites de données. Il n’en dit cependant pas plus pour l’instant.

23

Tiens, en parlant de ça :

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Avec neutralité, sans neutralité

16:58 ÉcoWeb 14
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Crypto influenceurs

16:41 Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Ça en fait des démarrages de DeLorean

14:45 Science 2

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 14
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 2
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 59

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 21
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 18

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 80
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Station spatiale internationale 1998

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Science 0

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

Science 6

Drapeaux de l’Union européenne

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Droit 3

Amazon re:Invent

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

IA 2

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

ÉcoSécu 0

23

Commentaires (23)


Abolah Abonné
Il y a 4 ans

C’est une bonne nouvelle de savoir qu’un tel outil va rester indépendant. Et également remercier Troy Hunt d’être resté fidèle à son désir de voir l’outil correctement repris après rachat, quitte à tout annuler malgré les probables dizaines de millions de $$$ promis pour l’acquisition.


TexMex
Il y a 4 ans

21 ans après le lancement du WWW la gars lance ce truc. Effectivement il n’y avait rien dans ce genre. Et le cas “Adobe” revêt même encore aujourd’hui une magnitude non negligeable.
28 ans après les gouvernements commencent à le financer (mais pas trop).
 
 En gros les gouvernements sont encore 3 métros derrière.
 


Naneday
Il y a 4 ans

un site qui permet de verifier quelles adresses sont toujours utilisable ;)

puis c’est en vente? pourquoi? ca prouve bien que ce site est louche


Jarodd Abonné
Il y a 4 ans






Naneday a écrit :

un site qui permet de verifier quelles adresses sont toujours utilisable ;)

puis c’est en vente? pourquoi? ca prouve bien que ce site est louche


Parce que c’est un travail titanesque pour un seul gars. C’est expliqué dans l’actu du premier lien :
 

« À ce jour, chaque ligne de code, chaque configuration et chaque
fuite de données a été traitée par moi seul. Il n’y a pas “d’équipe
HIBP”, il y a un gars qui garde tout ça à flot », explique Troy Hunt. « Ce
n’est pas seulement un problème de charge de travail. Je devenais de
plus en plus conscient du fait que j’étais le seul point de défaillance ;
et cela doit changer », ajoute-t-il.


Un projet avec un bus factor de 1 est clairement en danger de mort.



hellmut Abonné
Il y a 4 ans

ah ben évidemment.
c’est un peu pareil pour gpg et ssl il me semble. c’est utilisé par tout le monde, mais les mecs qui développent et maintiennent ça sont presque tout seuls dans leur garage.


Urtok
Il y a 4 ans

Ce site n’est pas louche, de plus Firefox se base dessus pour savoir si des mails/identifiants ont fuité avec le Firefox Monitor


fofo9012 Abonné
Il y a 4 ans

Je n’ai jamais compris ce site, c’est pas du recel ? Le opt-in du RGPD c’est un concept vague pour ce pauvre Troy !

Nos mails ont été volés par différents biais et ce type essaie de vendre ces listes de mails valides.
Les mails non vérolés qui sont saisies ils deviennent quoi ils sont sauvegardés ?

Si demain j’ouvre une concession vendant exclusivement des voitures volées je vais rapidement avoir des ennuis… À côté de ça on laisse ce site exploiter des données personnelles volées en toute impunité !


fry Abonné
Il y a 4 ans

de mémoire c’est pas les données elles-mêmes qu’il contient, mais un hash des emails qui ont fuités, et quand tu saisis ton mail, c’est pas lui qui est envoyé au site pour voir s’il existe dans la base, c’est son hash uniquement
donc il a rien à revendre, c’est le service de vérification et le maintient de la bd


Freeben666 Abonné
Il y a 4 ans

Ce que tu décris c’est pour les mots de passe. Les adresses mail sont stockées en clair.
https://www.troyhunt.com/working-with-154-million-records-on/


PtiDidi Abonné
Il y a 4 ans






fofo9012 a écrit :

Nos mails ont été volés par différents biais et ce type essaie de vendre ces listes de mails valides.
Les mails non vérolés qui sont saisies ils deviennent quoi ils sont sauvegardés ?



Où as tu vu que l’on pouvait acheter des listes de mails?
Dailleurs, comment ferait-il pour savoir si les mails sont valides?
J’avais lu que non, les mails testés n’étaient pas sauvegardés mais je ne trouve plus où



fofo9012 Abonné
Il y a 4 ans






PtiDidi a écrit :

Où as tu vu que l’on pouvait acheter des listes de mails?
Dailleurs, comment ferait-il pour savoir si les mails sont valides?


Lis l’article, au moins la première ligne…


PtiDidi a écrit :

J’avais lu que non, les mails testés n’étaient pas sauvegardés mais je ne trouve plus où

https://haveibeenpwned.com/FAQs#EmailHarvesting que c’est drôle.



PtiDidi Abonné
Il y a 4 ans

Hé bien lis l’article lié, il cherchait un repreneur pour le projet, pas pour les listes de mails.
Et au final il a choisi de ne pas le vendre, c’est dire la cupidité du gars.

Tu as une réponse plus constructive pour les mails valides?


En gros il dit “c’est pas sauvegardé, faites confiance ou n’utilisez pas”.
Il le fait peut être mais je vois pas trop la différence avec tous les services que l’on peut utiliser ailleurs qui disent “c’est secure et promis on l’utilisera pas pour notre profit”

Bref, rien de drôle au final.


BlueSquirrel Abonné
Il y a 4 ans

Quand bien même il les sauvegarderait, ces adresses email ont déjà fuité dans la nature et sont disponibles par d’autres moyens pour les pirates. Supprimer HIBP n’aurait donc pas un impact négatif sur les pirates, au contraire.

Néanmoins fofo9012 pose une question intéressante côté RGPD. HIBP c’est à mon avis d’utilité publique, et une très bonne chose, mais juridiquement ça viole sans doute le RGPD.


BlueSquirrel Abonné
Il y a 4 ans

On a vu ce que ça a donné avec SSL côté failles… Il est temps que des entités importantes (entreprises, pays) contribuent.


BlueSquirrel Abonné
Il y a 4 ans

IMHA un hash de mot de passe c’est une donnée personnelle, car c’est possible de retrouver le mot de passe depuis le hash.
A noter que pour les mots de passe ça n’envoie même pas le hash à HIBP mais seulement les 5 premiers caractères de celui-ci, HIBP renvoie alors tous les matches trouvés (sans les 5 premiers caractères) et c’est à toi de vérifier si le hash du mot de passe que tu testes est finalement dans ceux renvoyés.
https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRange


PtiDidi Abonné
Il y a 4 ans






BlueSquirrel a écrit :

Quand bien même il les sauvegarderait, ces adresses email ont déjà fuité dans la nature et sont disponibles par d’autres moyens pour les pirates. Supprimer HIBP n’aurait donc pas un impact négatif sur les pirates, au contraire.



Si HIBP garde en base la liste des mails cherchés qui n’ont pas fait l’objet d’une fuite, ca fait un source de fuite de plus.
C’est de ca que l’on parle.



PtiDidi Abonné
Il y a 4 ans

Étant donnée que les mots de passe peuvent être aléatoires, je ne pense pas que l’on puisse les qualifier de données personnelles.

Je vois bien comment on peut identifier une personne avec le sexe, l’adresse ou le numéro de sécurité sociale, mais le mot de passe :/ Encore moins le hash
À noter que pour retrouver un mot de passe à partir d’un hash, il n’est pas possible de le calculer, il faut plutot miser sur la chance.


BlueSquirrel Abonné
Il y a 4 ans

Ca m’étonnerait que HIBP garde un historisque des emails recherchés, notamment pour cette raison.


BlueSquirrel Abonné
Il y a 4 ans

Les mots de passe ne sont quasi jamais aléatoires, il suffit de voir le top.

Un mot de passe peut être identifiant pour deux raisons :




  • beaucoup de gens mettent des données personnelles dedans, comme leur date de naissance

  • beaucoup de gens réutilisent le même mot de passe sur différents comptes, ce qui en fait une donnée identifiante partagée entre différents systèmes

    Je ne dis pas qu’un mot de passe est systématiquement une donnée personnelle, mais il peut.

    Un mot de passe peut être retrouvé via bruteforce, ce dernier étant plus ou moins faisable. Dans certains cas il ne dépend pas de la chance cela dit, et contient une donnée personnelle, notamment lorsque la plateforme permet à l’utilisateur d’entrer un indice (question secrète) qui lui sera ensuite restitué au besoin pour l’aider à se souvenir de son mot de passe.
    Or en général les questions secrètes portent sur des données personnelles, et font partie de la fuite avec les hashes.


PtiDidi Abonné
Il y a 4 ans

C’est exactement pour ca que je disais plus haut :

En gros il dit “c’est pas sauvegardé, faites confiance ou n’utilisez pas”.
Il le fait peut être mais je vois pas trop la différence avec tous les services que l’on peut utiliser ailleurs qui disent “c’est secure et promis on l’utilisera pas pour notre profit”


PtiDidi Abonné
Il y a 4 ans

Ils peuvent, autrement dit c’est un champs texte et l’utilisateur mets ce qu’il veut dedans.
Le fait que l’on puisse y mettre y mettre des données personnelles n’en fait pas une donnée personnelle sinon une publication facebook ou un article de blog devrait aussi être considéré comme donnée personnelle.

Que le mot de passe contienne une donnée personnelle ou pas, le retrouver passera par du bruteforce donc une part de chance (quelle données personnelle? quoi de plus que cette donnée?).

Alors, déjà tu confonds indice et question secrète; l’indice permettra d’aider l’utilisateur à retrouver son mot de passe, la question secrète lui permettra de réinitialiser son mot de passe.
L’indice n’est pas une donnée personnelle (c’est une donnée sur le mot de passe).
La question secrète l’est certainement (en plus dêtre une fausse bonne idée de l’utiliser)
Mais pour sûr, on ne parle plus du mot de passe.


BlueSquirrel Abonné
Il y a 4 ans

Je me demande pourquoi il n’utilise pas le même système que pour la recherche des mots de passe, où l’on a “by design” justement pas à lui faire confiance : seulement les 5 premiers caractères du hash qui sont envoyés à HIBP, qui renvoie en échange tous les matches potentiels, et c’est à nous de comparer en local.

D’ailleurs c’est pareil quand tu t’inscris à son service de notification en cas de brèche : l’email est stocké en clair, pas le hash. Alors qu’ici encore techniquement il pourrait ne stocker que le hash quand tu t’inscris, et à chaque fois qu’il ajoute une adresse à la base de données la hasher, voir s’il a le hash dans la liste de notification, et si c’est le cas envoyer l’email pendant qu’il a toujours l’adresse en clair.


BlueSquirrel Abonné
Il y a 4 ans

La question de si un post sur un réseau social est une donnée personnelle ou pas sera éternelle tant que la jurisprudence n’aura pas tranché.

Intéressons-nous plutôt à la définition de la CNIL : “C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.”

Ajoute à ça “s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.”

Cela signifie qu’au final à peu près tout peut être considéré comme une donnée personnelle, car l’on peut quasi toujours remonter à quelqu’un en recoupant les données à notre disposition avec d’autres.
Apparemment c’est même possible de “dé-anonymiser” des données, donc aucune donnée n’est à l’abri d’être qualifiée de donnée personnelle.

Et je maintiens, pour les deux raisons que j’ai exposées dans mon précédent post : un mot de passe peut permettre d’identifier un individu. Soit directement (donnée personnelle dans le mdp), soit indirectement (mdp réutilisé sur plusieurs plateformes et pouvant permettre par recoupement entre les autres données du compte sur chacune de ces plateformes d’identifier l’individu détenteur de ces comptes)

Oui j’ai fait un raccourci entre indice et question secrète, mais peu importe, mon argument tient toujours : l’indice (qui lui aussi est une fausse bonne idée) peut permettre de savoir que le mot de passe contient une donnée personnelle (par ex si l’indice est “la date de mon mariage”)