Troy Hunt met en vente Have I Been Pwned
Le 12 juin 2019 à 09h53
2 min
Internet
Internet
Lancé fin 2013 par l'expert en sécurité, le site recense les nombreuses fuites de données afin de vous indiquer si votre mot de passe a été compromis. Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données. Le site accueille environ « 150 000 visiteurs uniques lors d’une journée normale et 10 millions lors d’une journée anormale », explique son créateur.
« À ce jour, chaque ligne de code, chaque configuration et chaque fuite de données a été traitée par moi seul. Il n'y a pas "d'équipe HIBP", il y a un gars qui garde tout ça à flot », explique Troy Hunt. « Ce n’est pas seulement un problème de charge de travail. Je devenais de plus en plus conscient du fait que j'étais le seul point de défaillance ; et cela doit changer », ajoute-t-il.
Qu'adviendra-t-il de Have I Been Pwned ? Troy Hunt n'a pas de réponse toute faite, mais il donne quand même quelques points qui lui semblent importants, notamment qu'il restera impliqué dans le projet et que les recherches doivent rester gratuites.
La question est maintenant de savoir qui va récupérer cette immense base de données, et quoi en faire. Pour le chercheur en cybersécurité Luc Lefebvre, « ça doit être quelqu’un en qui les gens ont confiance et ça ne doit pas être fait dans un but lucratif [...] le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».
L'Electronic Frontier Foundation, Tor et Open Whisper Systems sont cités en exemples.
Le 12 juin 2019 à 09h53
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/06/2019 à 08h57
Qwant devrait se pencher sur cette affaire.
Le 12/06/2019 à 08h58
Mozilla ?
Le 12/06/2019 à 09h03
Facebook ?????? " />
Le 12/06/2019 à 09h11
La NSA ? Ah non, ils n’en ont pas besoin, car leur base de données est plus complète " />
Le 12/06/2019 à 09h19
Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données.
Du coup, si elle n’était pas dans une base de données, maintenant elle l’est. " />
Le 12/06/2019 à 09h29
C’est bizarre, c’est pas du tout ce que j’ai compris de son “projet Svalbard”. Pour moi, il vendait pas mais au contraire, il allait developper serieusement le concept et lancer des services autour pour le rendre perenne financierement et surtout humainement…
Mais bon, j’ai un peu lu son billet de blog en travers
Modifié le 09/12/2024 à 21h45
Le 12/06/2019 à 10h16
Le 12/06/2019 à 10h40
Les adresses email sont déjà publiques puisqu’elles apparaissent dans les fuites.
Comme il l’explique dans son blog, il veut pouvoir s’appuyer sur une plus grosse entreprise pour continuer a développer son projet.
C’est dommage d’attaquer ainsi un projet important.
Le 12/06/2019 à 10h40
Le 12/06/2019 à 10h44
Le site ne récupère aucune adresse mail. L’adresse mail est hachée localement et un bout du hash est envoyé au site pour comparer avec les fuites. Il a écrit un excellent billet de blog à ce sujet.
Le 12/06/2019 à 10h46
Oui Firefox monitor dépend de ce projet. J’imagine que Troy a eu des contacts avec Mozilla à ce sujet mais s’il n’a rien annoncé c’est que les discussions n’ont pas aboutis… :(
Le 12/06/2019 à 11h15
Le “projet Svalbard” dont il parle, c’est simplement le projet d’acquisition de HIBP. A priori, donner un nom à une acquisition, c’est ce qui se fait dans le milieu… Pour donner une certaine visibilité je suppose.
Perso, je fais confiance à Troy Hunt. C’est un expert reconnu dans le domaine de la sécurité. Il sait ce qu’il fait. Il fera un bon choix.
Le 12/06/2019 à 11h33
Le 12/06/2019 à 11h34
Le 12/06/2019 à 12h21
Merci pour ces utiles précisions !
Le 12/06/2019 à 12h21
Le 12/06/2019 à 12h49
Le 12/06/2019 à 14h43
Le 12/06/2019 à 15h01
on peut quand même s’inscrire pour recevoir des notifications pour les emails d’un domaine complet
https://haveibeenpwned.com/DomainSearch
donc il y a quand même une base d’emails de postmasters/webmasters/admin
Le 12/06/2019 à 15h05
“le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».
Communiste ! 😅
Le 12/06/2019 à 15h47
Le 12/06/2019 à 16h53
les deux domaines que j’ai inscrit ne sont pas (encore) présents dans les leaks aggrégés par hibp. Cette base de noms de domaines appartenant à des paranoïaques doit avoir une valeur importante pour les annonceurs de tous poils, pour essayer de nous vendre des services de protection qu’un leak ait été identifié ou non
Le 12/06/2019 à 17h13
Le 12/06/2019 à 19h23
Si tu as vraiment peur, alors tu peux demander à supprimer ton mail de la base HIBP via ce lien :https://haveibeenpwned.com/OptOut
Le 14/06/2019 à 13h07
Punaise je pensais pas qu’il y aurait des gens pour chipoter sur ce genre de services… Les mecs, quittez NextInpact si vous décidez d’être paranos à ce point (et Internet dans sa totalité, plus directement).
Le 15/06/2019 à 10h54
Le 16/06/2019 à 10h37