Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Troy Hunt met en vente Have I Been Pwned

Troy Hunt met en vente Have I Been Pwned

Le 12 juin 2019 à 09h53

Lancé fin 2013 par l'expert en sécurité, le site recense les nombreuses fuites de données afin de vous indiquer si votre mot de passe a été compromis. Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données. Le site accueille environ « 150 000 visiteurs uniques lors d’une journée normale et 10 millions lors d’une journée anormale », explique son créateur.

« À ce jour, chaque ligne de code, chaque configuration et chaque fuite de données a été traitée par moi seul. Il n'y a pas "d'équipe HIBP", il y a un gars qui garde tout ça à flot », explique Troy Hunt. « Ce n’est pas seulement un problème de charge de travail. Je devenais de plus en plus conscient du fait que j'étais le seul point de défaillance ; et cela doit changer », ajoute-t-il.

Qu'adviendra-t-il de Have I Been Pwned ? Troy Hunt n'a pas de réponse toute faite, mais il donne quand même quelques points qui lui semblent importants, notamment qu'il restera impliqué dans le projet et que les recherches doivent rester gratuites.

La question est maintenant de savoir qui va récupérer cette immense base de données, et quoi en faire. Pour le chercheur en cybersécurité Luc Lefebvre, « ça doit être quelqu’un en qui les gens ont confiance et ça ne doit pas être fait dans un but lucratif [...] le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».

L'Electronic Frontier Foundation, Tor et Open Whisper Systems sont cités en exemples.

Le 12 juin 2019 à 09h53

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Qwant devrait se pencher sur cette affaire.

votre avatar

Mozilla ?

votre avatar

Facebook ?????? <img data-src=" />

votre avatar

La NSA ? Ah non, ils n’en ont pas besoin, car leur base de données est plus complète <img data-src=" />

votre avatar



Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données.





Du coup, si elle n’était pas dans une base de données, maintenant elle l’est. <img data-src=" />

votre avatar

C’est bizarre, c’est pas du tout ce que j’ai compris de son “projet Svalbard”. Pour moi, il vendait pas mais au contraire, il allait developper serieusement le concept et lancer des services autour pour le rendre perenne financierement et surtout humainement…

Mais bon, j’ai un peu lu son billet de blog en travers

votre avatar

Firefox Monitor est un fork ou le service dépend de Have I Been Pwned ?



Étant donné qu’il a déjà collaboré avec la fondation Mozilla pour qu’ils montent ça, je ne vois pas pourquoi aller voir plus loin.

votre avatar







127.0.0.1 a écrit :



Du coup, si elle n’était pas dans une base de données, maintenant elle l’est. <img data-src=" />





Exactement. S’il veut être cohérent avec son projet, il le ferme purement et simplement. Là ça ressemble à un énième piège à pigeons pour récupérer des emails, et une fois qu’il a son listing, il part le vendre.



Je peux comprendre qu’il souhaite en tirer un petit pactole mais ça décrédibilise une fois encore ce type de projet.


votre avatar

Les adresses email sont déjà publiques puisqu’elles apparaissent dans les fuites.



Comme il l’explique dans son blog, il veut pouvoir s’appuyer sur une plus grosse entreprise pour continuer a développer son projet.



C’est dommage d’attaquer ainsi un projet important.

votre avatar







M’enfin ! a écrit :



Exactement. S’il veut être cohérent avec son projet, il le ferme purement et simplement. Là ça ressemble à un énième piège à pigeons pour récupérer des emails, et une fois qu’il a son listing, il part le vendre.



Je peux comprendre qu’il souhaite en tirer un petit pactole mais ça décrédibilise une fois encore ce type de projet.





Le mec a jamais demandé un centime pour son service, il esat reconnu dans le domaine de la sécurité, et son site se fait acquérir et y’en a encore qui trouvent le moyen de lui cracher à la gueule parce qu’il peut pas gérer le truc tout seul gratuitement jusqu’à la fin des temps… Ce qu’il faut pas entendre…


votre avatar

Le site ne récupère aucune adresse mail. L’adresse mail est hachée localement et un bout du hash est envoyé au site pour comparer avec les fuites. Il a écrit un excellent billet de blog à ce sujet.

votre avatar

Oui Firefox monitor dépend de ce projet. J’imagine que Troy a eu des contacts avec Mozilla à ce sujet mais s’il n’a rien annoncé c’est que les discussions n’ont pas aboutis… :(

votre avatar

Le “projet Svalbard” dont il parle, c’est simplement le projet d’acquisition de HIBP. A priori, donner un nom à une acquisition, c’est ce qui se fait dans le milieu… Pour donner une certaine visibilité je suppose.



Perso, je fais confiance à Troy Hunt. C’est un expert reconnu dans le domaine de la sécurité. Il sait ce qu’il fait. Il fera un bon choix.

votre avatar







M’enfin ! a écrit :



Exactement. S’il veut être cohérent avec son projet, il le ferme purement et simplement. Là ça ressemble à un énième piège à pigeons pour récupérer des emails, et une fois qu’il a son listing, il part le vendre.



Je peux comprendre qu’il souhaite en tirer un petit pactole mais ça décrédibilise une fois encore ce type de projet.







Le fonctionnement de HIBP est parfaitement connu et a été audité. Ça ne collecte absolument rien et les données qu’il a intégré sont hashées en base (histoire de ne pas devenir une cible lui-même)

Tu peux tester ton mot de passe aussi, le mécanisme de vérification fait que le site HIBP ne voit rien passer en clair.

Bref, le mec est un cador et il a le bon gout d’être aussi très intègre, y’a aucun doute sur la qualité de ce service.


votre avatar







Indigo74 a écrit :



Le “projet Svalbard” dont il parle, c’est simplement le projet d’acquisition de HIBP. A priori, donner un nom à une acquisition, c’est ce qui se fait dans le milieu… Pour donner une certaine visibilité je suppose.







Et bien ça m’est complétement passé au dessus de la tête… <img data-src=" />


votre avatar

Merci pour ces utiles précisions !

votre avatar







KP2 a écrit :



Le fonctionnement de HIBP est parfaitement connu et a été audité. Ça ne collecte absolument rien et les données qu’il a intégré sont hashées en base (histoire de ne pas devenir une cible lui-même)

Tu peux tester ton mot de passe aussi, le mécanisme de vérification fait que le site HIBP ne voit rien passer en clair.

Bref, le mec est un cador et il a le bon gout d’être aussi très intègre, y’a aucun doute sur la qualité de ce service.







Ok, tu m’as convaincu. Je vais mettre mon numero de sécu et mes identifiants bancaires.



En matière de sécurité, rien ne vaut un message convaincant d’un mec qui a l’air de savoir de quoi il parle. On appelle cela la sécurité par la confiance. C’est le top.



/sarcasme


votre avatar







127.0.0.1 a écrit :



Ok, tu m’as convaincu. Je vais mettre mon numero de sécu et mes identifiants bancaires.



En matière de sécurité, rien ne vaut un message convaincant d’un mec qui a l’air de savoir de quoi il parle. On appelle cela la sécurité par la confiance. C’est le top.



/sarcasme







Je crois que tu n’as pas bien compris lorsque j’ai écrit : “Le fonctionnement de HIBP est parfaitement connu et a été audité.”



Quand je dis qu’il n’y a pas de doute, c’est qu’il n’y a vraiment pas de doute sur son fonctionnement. De personne. Bon, excepté toi mais ça compte pas…


votre avatar







127.0.0.1 a écrit :



Ok, tu m’as convaincu. Je vais mettre mon numero de sécu et mes identifiants bancaires.



En matière de sécurité, rien ne vaut un message convaincant d’un mec qui a l’air de savoir de quoi il parle. On appelle cela la sécurité par la confiance. C’est le top.



/sarcasme





Hé bah fait donc ça, ouvre la console de débug de ton navigateur, ainsi qu’un wireshark si ça te chante et tu verras que t’envoies rien d’autre qu’un hash à HIBP.



Et franchement, vas-y si tu fais ça et que tu vois ton numéro de CB se balader sur le réseau, tu fais la une des journaux. Bon, je vais te spoiler : on est des milliers à avoir vérifié et tu ne trouveras que des hashs en transit.


votre avatar

on peut quand même s’inscrire pour recevoir des notifications pour les emails d’un domaine complet

https://haveibeenpwned.com/DomainSearch

donc il y a quand même une base d’emails de postmasters/webmasters/admin

votre avatar

“le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».

Communiste ! 😅

votre avatar







DjeFr a écrit :



on peut quand même s’inscrire pour recevoir des notifications pour les emails d’un domaine complet

https://haveibeenpwned.com/DomainSearch

donc il y a quand même une base d’emails de postmasters/webmasters/admin







Avant d’intégrer les données, les leaks sont en clair donc rien n’empêche de procéder à des recoupements/enrichissements avant de hasher le tout et le mettre à dispo au grand public.


votre avatar

les deux domaines que j’ai inscrit ne sont pas (encore) présents dans les leaks aggrégés par hibp. Cette base de noms de domaines appartenant à des paranoïaques doit avoir une valeur importante pour les annonceurs de tous poils, pour essayer de nous vendre des services de protection qu’un leak ait été identifié ou non

votre avatar







DjeFr a écrit :



les deux domaines que j’ai inscrit ne sont pas (encore) présents dans les leaks aggrégés par hibp. Cette base de noms de domaines appartenant à des paranoïaques doit avoir une valeur importante pour les annonceurs de tous poils, pour essayer de nous vendre des services de protection qu’un leak ait été identifié ou non







Ah oui, dans ce cas, effectivement, ils doivent bien avoir une base d’emails pour envoyer les alertes… Mais bon, je sais pas quelles informations privées ils t’ont demandé à l’inscription mais si ils ont fait un minimum attention, ça n’a pas nécessairement beaucoup de valeur en soi…

Quant aux domaines dont tu as demandé l’inscription, ils peuvent très bien être hashés aussi et ne fournir aucune information utile.


votre avatar

Si tu as vraiment peur, alors tu peux demander à supprimer ton mail de la base HIBP via ce lien :https://haveibeenpwned.com/OptOut

votre avatar

Punaise je pensais pas qu’il y aurait des gens pour chipoter sur ce genre de services… Les mecs, quittez NextInpact si vous décidez d’être paranos à ce point (et Internet dans sa totalité, plus directement).

votre avatar







KP2 a écrit :



Quand je dis qu’il n’y a pas de doute, c’est qu’il n’y a vraiment pas de doute sur son fonctionnement. De personne. Bon, excepté toi mais ça compte pas…







Le jour où on pourra entrer un hash sur son site web - et pas du texte clair - , promis je calculerai moi-même le hash de mon email/password et je le copierai+collerai sur son site web.



D’ici là, pour moi, la bonne réponse au problème :




  • “donne moi ton email, je vais te dire s’il est dans ma liste de 7,859,520,210 pwned emails.”

    c’est:

  • “donne moi ta liste de 7,859,520,210 pwned emails, je verrai moi-même si mon email est dans ta liste.”



    Et si le mec veut pas me donner sa liste parce qu’il n’a pas confiance en moi, alors je lui dis qu’il n’aura pas mon email parce que je n’ai pas confiance en lui.



    Note: La sécurité n’a rien à voir avec la paranoïa mais à tout à voir avec la notion de risque (occurrence+gravité).


votre avatar







127.0.0.1 a écrit :



Et si le mec veut pas me donner sa liste parce qu’il n’a pas confiance en moi, alors je lui dis qu’il n’aura pas mon email parce que je n’ai pas confiance en lui.







Télécharge les leaks toi-même dans ce cas et tu pourras fouiller dans les pass en clair si ça t’amuses… c’est facilement trouvable.


Troy Hunt met en vente Have I Been Pwned

Fermer