Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Le FBI va rendre public les mots de passe volés qu'il découvre dans ses enquêtes

Le mois dernier, le FBI partageait pour la première fois les données des victimes d'une de ses enquêtes -- celle sur le gang Emotet -- avec le site Have I Been Pwned (HIBP). Gigantesque point de collecte de fuites de données, ce site a une place exceptionnelle dans l'écosystème de la cybersécurité : il permet à des millions d'internautes de savoir gratuitement lorsque leur adresse email ou leur mot de passe a fuité.

En récompense officieuse de ses services, HIBP bénéficie depuis sa création en 2013 d'une forme d'impunité. Il n'est pas inquiété pour sa collecte des fuites de données, une pratique pourtant difficilement compatible avec certaines régulations comme le RGPD.  Alors qu'il flirte avec les limites du droit, le site vient combler un vide laissé par ce même droit dans la vie des données personnelles après leur fuite. Au final, les autorités publiques sont bien contentes de pouvoir s'appuyer sur Have I Been Pwned comme partenaire de confiance. À commencer par le FBI : il semblerait que le partage des données d'Emotet ait été un galop d'essai réussi.

Troy Hunt, le fondateur de HIBP, a annoncé sur son blog le 28 mai que désormais, lorsque le FBI découvrira une collection de mots de passe dans ses enquêtes, il pourra les déverser sur Pwned Password, l'onglet de Have I Been Pwned dédié aux mots de passe. D'après Hunt, cette fonctionnalité reçoit près d'un milliard de requêtes par mois, preuve de son succès.

Des mots de passe hashés pour plus de sécurité

Le bureau d'investigation devient ainsi le premier contributeur officiel d'Have I Been Pwned, qui s'appuie depuis sa création sur des envois ponctuels de sources diverses, parfois anonymes. Plus précisément, le FBI confiera au site seulement des mots de passe, et aucune autre information. Ils seront « hashés », c'est-à-dire protégés par un chiffrement (SHA-1 ou NTLM). Par exemple, le hash du mot de passe « 12345 » en SHA-1 devient « 8cb2237d0679ca88db6464eac60da96345513964 ». Bien sûr, les utilisateurs de HIBP n'auront pas à connaître le hash de leur mot de passe, c'est le site qui appliquera le chiffrement pour faire sa recherche. Autrement dit, Troy Hunt ou un éventuel hacker du site ne pourront pas lire les mots de passe en clair, mais le chiffrement n'empêchera pas le bon fonctionnement du site.

Les mots de passe de Pwned Password peuvent être téléchargés ou appelés via une API, et ils sont intégrés à toutes sortes d'outils. Ce fonctionnement signifie que le FBI va rendre publics les hashs des mots de passe des victimes de ses enquêtes. Il faut savoir savoir que déchiffrer les hashs est une tâche particulièrement laborieuse pour les mots de passe complexes, mais qu'il est relativement facile de le faire pour les mots de passe simples. Globalement, l'initiative devrait permettre à des milliers de personnes d'éviter des piratages. Par exemple, 17 gouvernements utilisent le service pour être sûr que leurs employés n'utilisent pas des mots de passe déjà fuités.

Savoir que son mot de passe a fuité est très important. Lorsque des hackers découvrent un mot de passe, ils l'ajoutent à des listes dont ils vont se servir pour essayer de se connecter à toutes sortes de comptes : réseaux sociaux, SVoD, mais aussi adresses et outils professionnels. Si la victime réutilise son mot de passe sur plusieurs comptes, elle perdra le contrôle de ceux-ci.

Pwned Passwords devient aussi open source

Troy Hunt a profité de son blog pour faire une autre annonce, celle de l'ouverture de Pwned Password en open source, un projet auquel il songe depuis août 2020. Concrètement, le code de son outil est disponible sur GitHub et des développeurs en tout genre peuvent proposer leur contribution.

L'intérêt de cette démarche est triple :