Troy Hunt l’a annoncé lundi soir : après avoir passé onze mois à chercher un acquéreur, il renonce à l’idée. Son service restera donc indépendant. Il permet pour rappel de savoir si des identifiants et mots de passe ont été volés au cours d’une attaque.
Dans un long billet de blog, il revient sur le projet Svalbard (du nom de l’archipel arctique où se trouve notamment la Réserve mondiale de semences), nom donné à son projet de vente. Il explique comment le long processus fut parsemé d'embûches.
Il évoque ses critères de sélection stricts, notamment sur la manière dont seraient gérées les données, et comment il a abouti à une seule entité, non nommée mais présentée initialement comme « idéale ». Cette structure aurait cependant modifié son modèle commercial dans les derniers temps. Le jugeant finalement inadapté, Troy Hunt a annulé l’opération.
Il n’est pas prévu d’autre campagne de recherche, et Have I Been Pwned restera indépendant, même si Hunt ajoute que la structure doit se renforcer, notamment au travers de partenariats.
Puisqu’il s’agit d’une entreprise, des liens ont déjà été tissés avec d’autres, notamment la fondation Mozilla (dans Firefox Monitor) et Cloudflare. Troy Hunt ajoute que cinq nouveaux gouvernements participent : l’Autriche, l’Irlande, la Norvège, la Suisse et le Danemark. Un sixième devrait être annoncé dans les jours qui viennent.
Sur les onze derniers mois, le service a enregistré 77 nouvelles fuites de données, pour un total de 1,7 milliard d’enregistrements. Environ 400 000 personnes se sont également inscrites au service.
Enfin, Hunt précise avoir dans ses cartons un projet sur lequel il travaille depuis deux ans et ayant trait à la manière dont l’industrie traite le flot des fuites de données. Il n’en dit cependant pas plus pour l’instant.
Commentaires (23)
#1
C’est une bonne nouvelle de savoir qu’un tel outil va rester indépendant. Et également remercier Troy Hunt d’être resté fidèle à son désir de voir l’outil correctement repris après rachat, quitte à tout annuler malgré les probables dizaines de millions de $$$ promis pour l’acquisition.
#2
21 ans après le lancement du WWW la gars lance ce truc. Effectivement il n’y avait rien dans ce genre. Et le cas “Adobe” revêt même encore aujourd’hui une magnitude non negligeable.
28 ans après les gouvernements commencent à le financer (mais pas trop).
En gros les gouvernements sont encore 3 métros derrière.
#3
un site qui permet de verifier quelles adresses sont toujours utilisable ;)
puis c’est en vente? pourquoi? ca prouve bien que ce site est louche
#4
#5
ah ben évidemment.
c’est un peu pareil pour gpg et ssl il me semble. c’est utilisé par tout le monde, mais les mecs qui développent et maintiennent ça sont presque tout seuls dans leur garage.
#6
Ce site n’est pas louche, de plus Firefox se base dessus pour savoir si des mails/identifiants ont fuité avec le Firefox Monitor
#7
Je n’ai jamais compris ce site, c’est pas du recel ? Le opt-in du RGPD c’est un concept vague pour ce pauvre Troy !
Nos mails ont été volés par différents biais et ce type essaie de vendre ces listes de mails valides.
Les mails non vérolés qui sont saisies ils deviennent quoi ils sont sauvegardés ?
Si demain j’ouvre une concession vendant exclusivement des voitures volées je vais rapidement avoir des ennuis… À côté de ça on laisse ce site exploiter des données personnelles volées en toute impunité !
#8
de mémoire c’est pas les données elles-mêmes qu’il contient, mais un hash des emails qui ont fuités, et quand tu saisis ton mail, c’est pas lui qui est envoyé au site pour voir s’il existe dans la base, c’est son hash uniquement
donc il a rien à revendre, c’est le service de vérification et le maintient de la bd
#9
Ce que tu décris c’est pour les mots de passe. Les adresses mail sont stockées en clair.
https://www.troyhunt.com/working-with-154-million-records-on/
#10
#11
#12
Hé bien lis l’article lié, il cherchait un repreneur pour le projet, pas pour les listes de mails.
Et au final il a choisi de ne pas le vendre, c’est dire la cupidité du gars.
Tu as une réponse plus constructive pour les mails valides?
En gros il dit “c’est pas sauvegardé, faites confiance ou n’utilisez pas”.
Il le fait peut être mais je vois pas trop la différence avec tous les services que l’on peut utiliser ailleurs qui disent “c’est secure et promis on l’utilisera pas pour notre profit”
Bref, rien de drôle au final.
#13
Quand bien même il les sauvegarderait, ces adresses email ont déjà fuité dans la nature et sont disponibles par d’autres moyens pour les pirates. Supprimer HIBP n’aurait donc pas un impact négatif sur les pirates, au contraire.
Néanmoins fofo9012 pose une question intéressante côté RGPD. HIBP c’est à mon avis d’utilité publique, et une très bonne chose, mais juridiquement ça viole sans doute le RGPD.
#14
On a vu ce que ça a donné avec SSL côté failles… Il est temps que des entités importantes (entreprises, pays) contribuent.
#15
IMHA un hash de mot de passe c’est une donnée personnelle, car c’est possible de retrouver le mot de passe depuis le hash.
A noter que pour les mots de passe ça n’envoie même pas le hash à HIBP mais seulement les 5 premiers caractères de celui-ci, HIBP renvoie alors tous les matches trouvés (sans les 5 premiers caractères) et c’est à toi de vérifier si le hash du mot de passe que tu testes est finalement dans ceux renvoyés.
https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRange
#16
#17
Étant donnée que les mots de passe peuvent être aléatoires, je ne pense pas que l’on puisse les qualifier de données personnelles.
Je vois bien comment on peut identifier une personne avec le sexe, l’adresse ou le numéro de sécurité sociale, mais le mot de passe :/ Encore moins le hash
À noter que pour retrouver un mot de passe à partir d’un hash, il n’est pas possible de le calculer, il faut plutot miser sur la chance.
#18
Ca m’étonnerait que HIBP garde un historisque des emails recherchés, notamment pour cette raison.
#19
Les mots de passe ne sont quasi jamais aléatoires, il suffit de voir le top.
Un mot de passe peut être identifiant pour deux raisons :
Je ne dis pas qu’un mot de passe est systématiquement une donnée personnelle, mais il peut.
Un mot de passe peut être retrouvé via bruteforce, ce dernier étant plus ou moins faisable. Dans certains cas il ne dépend pas de la chance cela dit, et contient une donnée personnelle, notamment lorsque la plateforme permet à l’utilisateur d’entrer un indice (question secrète) qui lui sera ensuite restitué au besoin pour l’aider à se souvenir de son mot de passe.
Or en général les questions secrètes portent sur des données personnelles, et font partie de la fuite avec les hashes.
#20
C’est exactement pour ca que je disais plus haut :
En gros il dit “c’est pas sauvegardé, faites confiance ou n’utilisez pas”.
Il le fait peut être mais je vois pas trop la différence avec tous les services que l’on peut utiliser ailleurs qui disent “c’est secure et promis on l’utilisera pas pour notre profit”
#21
Ils peuvent, autrement dit c’est un champs texte et l’utilisateur mets ce qu’il veut dedans.
Le fait que l’on puisse y mettre y mettre des données personnelles n’en fait pas une donnée personnelle sinon une publication facebook ou un article de blog devrait aussi être considéré comme donnée personnelle.
Que le mot de passe contienne une donnée personnelle ou pas, le retrouver passera par du bruteforce donc une part de chance (quelle données personnelle? quoi de plus que cette donnée?).
Alors, déjà tu confonds indice et question secrète; l’indice permettra d’aider l’utilisateur à retrouver son mot de passe, la question secrète lui permettra de réinitialiser son mot de passe.
L’indice n’est pas une donnée personnelle (c’est une donnée sur le mot de passe).
La question secrète l’est certainement (en plus dêtre une fausse bonne idée de l’utiliser)
Mais pour sûr, on ne parle plus du mot de passe.
#22
Je me demande pourquoi il n’utilise pas le même système que pour la recherche des mots de passe, où l’on a “by design” justement pas à lui faire confiance : seulement les 5 premiers caractères du hash qui sont envoyés à HIBP, qui renvoie en échange tous les matches potentiels, et c’est à nous de comparer en local.
D’ailleurs c’est pareil quand tu t’inscris à son service de notification en cas de brèche : l’email est stocké en clair, pas le hash. Alors qu’ici encore techniquement il pourrait ne stocker que le hash quand tu t’inscris, et à chaque fois qu’il ajoute une adresse à la base de données la hasher, voir s’il a le hash dans la liste de notification, et si c’est le cas envoyer l’email pendant qu’il a toujours l’adresse en clair.
#23
La question de si un post sur un réseau social est une donnée personnelle ou pas sera éternelle tant que la jurisprudence n’aura pas tranché.
Intéressons-nous plutôt à la définition de la CNIL : “C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.”
Ajoute à ça “s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.”
Cela signifie qu’au final à peu près tout peut être considéré comme une donnée personnelle, car l’on peut quasi toujours remonter à quelqu’un en recoupant les données à notre disposition avec d’autres.
Apparemment c’est même possible de “dé-anonymiser” des données, donc aucune donnée n’est à l’abri d’être qualifiée de donnée personnelle.
Et je maintiens, pour les deux raisons que j’ai exposées dans mon précédent post : un mot de passe peut permettre d’identifier un individu. Soit directement (donnée personnelle dans le mdp), soit indirectement (mdp réutilisé sur plusieurs plateformes et pouvant permettre par recoupement entre les autres données du compte sur chacune de ces plateformes d’identifier l’individu détenteur de ces comptes)
Oui j’ai fait un raccourci entre indice et question secrète, mais peu importe, mon argument tient toujours : l’indice (qui lui aussi est une fausse bonne idée) peut permettre de savoir que le mot de passe contient une donnée personnelle (par ex si l’indice est “la date de mon mariage”)