HaveIBeenPwned dépasse les 10 milliards d'identifiants volés : testez les vôtres !
10 000 000 000 de lignes de données dont « à peu près la moitié » d'adresses email uniques.
https://twitter.com/troyhunt/status/1284401324218445824
Créé en 2013 et géré en solo par l'Australien Troy Hunt, Have I Been Pwned -- traduisible en « ai-je été piraté ? » -- collecte toutes les fuites de données accessibles publiquement. Il se sert de cette montagne de données pour offrir un service de prévention au grand public, le tout gratuitement. Il vous suffit d'entrer votre adresse email sur le site pour qu'il la cherche parmi les centaines de bases de données qu'il a collectées en 7 ans d'existence.
S'il trouve une entrée correspondante, le site vous indiquera sur quelle fuite il a trouvé vos données, et quels types de données ont également fuité. Have I Been Pwned vous propose également de vous envoyer un email de notification s'il télécharge une base contenant votre email. Parfois la base de données qui contient votre email est clairement affiliée à une entreprise, d'autres fois à une liste de spam, et parfois il est tout simplement impossible de l'attribuer. Essayez : vous serez sûrement étonnés de retrouver votre adresse présente dans des fuites de services dont vous vous rappelez à peine le nom.
Vous pourrez ainsi réagir si, par exemple, vous réutilisez un mot de passe sur un autre service. Ou plus généralement, vous serez conscients du type de données que des cybercriminels pourraient détenir sur vous. C'est important : les malfaiteurs se servent souvent de ces fuites pour rendre leurs manœuvres de phishing plus convaincantes, ou pour pirater d'autres comptes de leurs victimes.
L'email, mais sans informations attachées
Avant le lancement de Have I Been Pwned (HIBP) en 2013, aucun site ne centralisait les fuites de données publiques. Des outils amateurs étaient ponctuellement créés à chaque nouvelle fuite, afin de faciliter la recherche des ses données dans cette fuite particulière.
Troy Hunt a lui lancé son site avec 154 millions de lignes de données issues très majoritairement de la fuite de Adobe de l'époque (152 millions de lignes) en plus de 4 autres bases de données (dont celles de Yahoo! et Sony). Il a dû, dès le début, adresser la question du stockage, et ses précautions se sont avérées utiles, puisque 3 ans plus tard, le site a dépassé la barre du milliard de lignes de données.
L'Australien a fait d'emblée un choix fort : il ne garderait que les adresses email, et ne les lierait jamais avec les mots de passe fuités. Justifiée par des considérations éthiques, cette décision le mène à ne pas indexer de gigantesques fuites de données, comme celle de LinkedIn, lors qu'elles ne contiennent pas d'adresse email.
Hunt a tout de même fini par lancer un sous-domaine de Have I Been Pwned, qui permet de trouver toutes les récurrences d'un mot de passe, toujours sans les lier à l'email. Si votre mot de passe est reconnu par le site, il vous conseille de la changer sur tous les services où vous l'utiliseriez. À titre d'exemple, HIBP retrouve plus de 23 millions de fois le mot de passe « 123456 » dans sa base de données.
Des entreprises comme Firefox ou 1password achètent un accès à ces bases de données pour prévenir les utilisateurs de leurs produits quand ils veulent choisir un mot de passe déjà compromis. Ces contrats sont un moyen pour Troy Hunt de payer pour les coûts liés à son site. Gratuit et sans publicité, il ne devrait survivre sinon qu'avec des donations.
Achat annulé et limite du one man site
En juin 2019, l'Australien, débordé par la charge de travail, a songé à faire passer son site à l'échelle supérieure. Il a alors lancé une procédure de vente, avec une condition essentielle : il devait rester au cœur du fonctionnement du site. En mars 2020, il a finalement renoncé à faire aboutir cette procédure. « La possibilité pour le public de gratuitement prendre connaissance de son exposition dans des fuites de données sans inquiétudes aux sujets de mes motivations ou de mes influences est au cœur de ce service », explique-t-il dans son dernier billet de blog.
La décision a rassuré bon nombre d'utilisateurs du service, mais elle n'a pas résolu le principal problème de HIPIB : le site, pourtant d'intérêt public, dépend entièrement de Troy Hunt. Que se passe-t-il s'il est mangé par un requin, s'amuse-t-il dans une interview donnée à Techcrunch. S'il ne veut ou ne peut pas travailler, la base de données de HIPIB ne sera pas renforcée, alors même qu'elle ne présente déjà que la face émergée de l'iceberg des fuites de données.
L'Australien ne fait en effet « que » indexer des bases de données qui lui sont communiquées ou qu'il trouve lui-même, toujours gratuitement. Il en existe bien d'autres, de petites et de grandes tailles, connues et encore inconnues, échangées sur des forums de hackers ou détenues précieusement par une seule organisation. Peut-être qu'elles aboutiront un jour sur Have I Been Pwned dans le futur. Mais en attendant, ne pas trouver son adresse sur HIPIB ne garantit pas qu'elle n'a pas fuité. « Nous avons perdu le contrôle de données en tant qu'individus », déplore Troy Hunt auprès Techcrunch. Lui-même, pourtant conscient des enjeux, a été « pwned » plus de 20 fois.
Mais Have I Been Pwned n'est pas condamné à rester -- relativement -- confidentiel. Son créateur a déjà des projets pour le futur du site : « Plus que jamais, les suggestions comme passer tout le projet en open source font sens, et c'est quelque chose que je considère réellement, en plus de continuer à travailler avec des organisations à but non lucratif, qui vont prioriser le service, et non les dollars. »