Lancé fin 2013 par l'expert en sécurité, le site recense les nombreuses fuites de données afin de vous indiquer si votre mot de passe a été compromis. Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données. Le site accueille environ « 150 000 visiteurs uniques lors d’une journée normale et 10 millions lors d’une journée anormale », explique son créateur.
« À ce jour, chaque ligne de code, chaque configuration et chaque fuite de données a été traitée par moi seul. Il n'y a pas "d'équipe HIBP", il y a un gars qui garde tout ça à flot », explique Troy Hunt. « Ce n’est pas seulement un problème de charge de travail. Je devenais de plus en plus conscient du fait que j'étais le seul point de défaillance ; et cela doit changer », ajoute-t-il.
Qu'adviendra-t-il de Have I Been Pwned ? Troy Hunt n'a pas de réponse toute faite, mais il donne quand même quelques points qui lui semblent importants, notamment qu'il restera impliqué dans le projet et que les recherches doivent rester gratuites.
La question est maintenant de savoir qui va récupérer cette immense base de données, et quoi en faire. Pour le chercheur en cybersécurité Luc Lefebvre, « ça doit être quelqu’un en qui les gens ont confiance et ça ne doit pas être fait dans un but lucratif [...] le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».
L'Electronic Frontier Foundation, Tor et Open Whisper Systems sont cités en exemples.
Commentaires (28)
#1
Qwant devrait se pencher sur cette affaire.
#2
Mozilla ?
#3
Facebook ??????
" />
#4
La NSA ? Ah non, ils n’en ont pas besoin, car leur base de données est plus complète
" />
#5
Il suffit de saisir votre adresse email pour voir si elle apparaît dans les bases de données.
Du coup, si elle n’était pas dans une base de données, maintenant elle l’est.
#6
C’est bizarre, c’est pas du tout ce que j’ai compris de son “projet Svalbard”. Pour moi, il vendait pas mais au contraire, il allait developper serieusement le concept et lancer des services autour pour le rendre perenne financierement et surtout humainement…
Mais bon, j’ai un peu lu son billet de blog en travers
#7
Firefox Monitor est un fork ou le service dépend de Have I Been Pwned ?
Étant donné qu’il a déjà collaboré avec la fondation Mozilla pour qu’ils montent ça, je ne vois pas pourquoi aller voir plus loin.
#8
#9
Les adresses email sont déjà publiques puisqu’elles apparaissent dans les fuites.
Comme il l’explique dans son blog, il veut pouvoir s’appuyer sur une plus grosse entreprise pour continuer a développer son projet.
C’est dommage d’attaquer ainsi un projet important.
#10
#11
Le site ne récupère aucune adresse mail. L’adresse mail est hachée localement et un bout du hash est envoyé au site pour comparer avec les fuites. Il a écrit un excellent billet de blog à ce sujet.
#12
Oui Firefox monitor dépend de ce projet. J’imagine que Troy a eu des contacts avec Mozilla à ce sujet mais s’il n’a rien annoncé c’est que les discussions n’ont pas aboutis… :(
#13
Le “projet Svalbard” dont il parle, c’est simplement le projet d’acquisition de HIBP. A priori, donner un nom à une acquisition, c’est ce qui se fait dans le milieu… Pour donner une certaine visibilité je suppose.
Perso, je fais confiance à Troy Hunt. C’est un expert reconnu dans le domaine de la sécurité. Il sait ce qu’il fait. Il fera un bon choix.
#14
#15
#16
Merci pour ces utiles précisions !
#17
#18
#19
#20
on peut quand même s’inscrire pour recevoir des notifications pour les emails d’un domaine complet
https://haveibeenpwned.com/DomainSearch
donc il y a quand même une base d’emails de postmasters/webmasters/admin
#21
“le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires ».
Communiste ! 😅
#22
#23
les deux domaines que j’ai inscrit ne sont pas (encore) présents dans les leaks aggrégés par hibp. Cette base de noms de domaines appartenant à des paranoïaques doit avoir une valeur importante pour les annonceurs de tous poils, pour essayer de nous vendre des services de protection qu’un leak ait été identifié ou non
#24
#25
Si tu as vraiment peur, alors tu peux demander à supprimer ton mail de la base HIBP via ce lien :https://haveibeenpwned.com/OptOut
#26
Punaise je pensais pas qu’il y aurait des gens pour chipoter sur ce genre de services… Les mecs, quittez NextInpact si vous décidez d’être paranos à ce point (et Internet dans sa totalité, plus directement).
#27
#28