Publié le 28 mai 2021 à 11h51

Le FBI va rendre public les mots de passe volés qu’il découvre dans ses enquêtes

Temps de lecture : 4 min

Le mois dernier, le FBI partageait pour la première fois les données des victimes d’une de ses enquêtes — celle sur le gang Emotet — avec le site Have I Been Pwned (HIBP). Gigantesque point de collecte de fuites de données, ce site a une place exceptionnelle dans l’écosystème de la cybersécurité : il permet à des millions d’internautes de savoir gratuitement lorsque leur adresse email ou leur mot de passe a fuité.

En récompense officieuse de ses services, HIBP bénéficie depuis sa création en 2013 d’une forme d’impunité. Il n’est pas inquiété pour sa collecte des fuites de données, une pratique pourtant difficilement compatible avec certaines régulations comme le RGPD. Alors qu’il flirte avec les limites du droit, le site vient combler un vide laissé par ce même droit dans la vie des données personnelles après leur fuite. Au final, les autorités publiques sont bien contentes de pouvoir s’appuyer sur Have I Been Pwned comme partenaire de confiance. À commencer par le FBI : il semblerait que le partage des données d’Emotet ait été un galop d’essai réussi.

Have I Been Pwned a noué un partenariat inédit avec le FBI. // Source : Louise Audry pour Numerama

Troy Hunt, le fondateur de HIBP, a annoncé sur son blog le 28 mai que désormais, lorsque le FBI découvrira une collection de mots de passe dans ses enquêtes, il pourra les déverser sur Pwned Password, l’onglet de Have I Been Pwned dédié aux mots de passe. D’après Hunt, cette fonctionnalité reçoit près d’un milliard de requêtes par mois, preuve de son succès.

Des mots de passe hashés pour plus de sécurité

Le bureau d’investigation devient ainsi le premier contributeur officiel d’Have I Been Pwned, qui s’appuie depuis sa création sur des envois ponctuels de sources diverses, parfois anonymes. Plus précisément, le FBI confiera au site seulement des mots de passe, et aucune autre information. Ils seront « hashés », c’est-à-dire protégés par un chiffrement (SHA-1 ou NTLM). Par exemple, le hash du mot de passe « 12345 » en SHA-1 devient « 8cb2237d0679ca88db6464eac60da96345513964 ». Bien sûr, les utilisateurs de HIBP n’auront pas à connaître le hash de leur mot de passe, c’est le site qui appliquera le chiffrement pour faire sa recherche. Autrement dit, Troy Hunt ou un éventuel hacker du site ne pourront pas lire les mots de passe en clair, mais le chiffrement n’empêchera pas le bon fonctionnement du site.

17 gouvernements utilisent Pwned Password

Les mots de passe de Pwned Password peuvent être téléchargés ou appelés via une API, et ils sont intégrés à toutes sortes d’outils. Ce fonctionnement signifie que le FBI va rendre publics les hashs des mots de passe des victimes de ses enquêtes. Il faut savoir savoir que déchiffrer les hashs est une tâche particulièrement laborieuse pour les mots de passe complexes, mais qu’il est relativement facile de le faire pour les mots de passe simples. Globalement, l’initiative devrait permettre à des milliers de personnes d’éviter des piratages. Par exemple, 17 gouvernements utilisent le service pour être sûr que leurs employés n’utilisent pas des mots de passe déjà fuités.

Savoir que son mot de passe a fuité est très important. Lorsque des hackers découvrent un mot de passe, ils l’ajoutent à des listes dont ils vont se servir pour essayer de se connecter à toutes sortes de comptes : réseaux sociaux, SVoD, mais aussi adresses et outils professionnels. Si la victime réutilise son mot de passe sur plusieurs comptes, elle perdra le contrôle de ceux-ci.

Pwned Passwords devient aussi open source

Troy Hunt a profité de son blog pour faire une autre annonce, celle de l’ouverture de Pwned Password en open source, un projet auquel il songe depuis août 2020. Concrètement, le code de son outil est disponible sur GitHub et des développeurs en tout genre peuvent proposer leur contribution.

L’intérêt de cette démarche est triple :

Elle pérennise le projet dans le temps. Aujourd’hui, Have I Been Pwned dépend entièrement de Troy Hunt, et s’il venait à disparaître subitement, le site disparaîtrait avec lui.
C’est une preuve de transparence importante. En open source, n’importe qui peut vérifier son outil, s’assurer qu’il ne présente pas de vulnérabilité ou encore que Hunt ne ment pas sur son fonctionnement.
Elle permet d’envisager un vrai développement de l’outil. Hunt a sollicité la fondation .NET pour chapeauter les contributions et gérer la communauté. Il peut suggérer le développement de nouvelles fonctionnalités, tout comme recevoir de nouvelles suggestions d’évolution.

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.

Crédit photo de la une : Troy Hunt

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Comment migrer ses mots de passe de Chrome vers NordPass

Cette simple photo a permis de suivre un cybercriminel finlandais. // Source : YLE

Une simple photo de main a permis de reconnaitre l’empreinte digitale d’un célèbre cybercriminel

Qui a encore besoin d’un mot de passe sur le PlayStation Network ?

Une opération des forces de police conjointement avec Europol. // Source : Europol

« On a voulu ruiner la réputation des hackers de Lockbit », rencontre avec le directeur opération d’Europol

Keeper déploie enfin le nécessaire pour en finir avec les mots de passe sur smartphone

Les derniers articles cyberguerre

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

cyberguerre hygiène numérique

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Le service était méconnu

Google jette l’éponge avec les VPN

12.04.2024 12:05

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17

Le Parc des Princes, le stade du PSG. // Source : Numerama

cyberguerre cybercriminalité

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique phishing

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

cyberguerre hygiène numérique

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32

« Construire un datacenter vertueux, ça ne coûte pas plus cher » : comment Infomaniak fait mieux que les géants du web

30.03.2024 08:01

numerama_minimalist_illustration_of_a_cyber_attack._In_a_hosp_25550453-ab1b-470e-a56c-8b17b34ed662_2

cyberguerre hygiène numérique fuites de données

« Ils m’ont dit que je prenais du matériel pour particulier qui ne tiendrait jamais le coup » : comment les hôpitaux s’arment contre les cyberattaques

29.03.2024 14:36

sponso