Le site « Have I Been Pwned ? » s'associe à Mozilla pour que internautes puissent savoir facilement si leur mail figure dans une base de données piratée.

Si tu ne vas pas à l’information, alors l’information ira à toi. Voilà, résumée à grands traits, la philosophie derrière le partenariat qui est mis en place entre la fondation Mozilla, qui édite le navigateur web Firefox, et le site « Have I Been Pwned ? », qui permet de savoir si l’une de ses adresses de courrier électronique figure dans une base de données qui a été piratée.

Concrètement, l’idée est la suivante : plutôt que de vous laisser vous rendre sur le site de « Have I Been Pwned ? », Firefox va vérifier lui-même si votre mail figure ou non parmi un ensemble d’informations piratées. De cette façon, si votre adresse figure dans une base de données compromise, vous aurez l’information et pourrez prendre les dispositions qui s’imposent.

Le site vous prévient si votre adresse figure dans une base de données compromise.

En effet, Troy Hunt — la personne qui est derrière le projet « Have I Been Pwned ? » — sait bien que tout le monde ne va pas contrôler si ses données personnelles sont en péril. C’est tout le paradoxe : les personnes qui sont a priori familières de la sécurité informatique connaissent et utilisent ce site, alors qu’elles pourraient presque faire sans, tandis que les autres, plus vulnérables, ne connaissent pas son existence.

C’est ce qu’il explique sur son blog : « des 5,1 milliards d’enregistrements qui sont aujourd’hui dans le site, il y a 3,1 milliards d’adresses e-mail uniques. J’atteins 0,06 % d’entre eux via le service de notification et pas beaucoup plus en termes de personnes venant sur le site et faisant une recherche ad hoc (généralement 100 000 à 200 000 personnes par jour) ».

C’est pour renverser cette situation qu’un travail commun a été fait entre Mozilla et Troy Hunt sur l’outil de sécurité Firefox Monitor.

Expérimenté depuis cet après de quelques centaines de milliers d’internautes, le projet est désormais ouvert à tout le monde. En vous rendant sur Firefox Monitor, vous ferez face à une page spéciale hébergée par Mozilla et par laquelle il est possible de vérifier si son mail figure dans une base de données compromise. Il est précisé que le mail n’est pas stocké et qu’un processus d’anonymisation a été prévu.

Firefox Monitor
L’accueil de Firefox Monitor. // Source : URL

Anonymisation du mail

Dans la mesure où ce service est amené à traiter de données personnelles, notamment des données personnelles compromises, une attention particulière a été apportée sur la confidentialité des informations. « Il est important de noter que nous ne violons pas les attentes de nos utilisateurs en matière de protection de la vie privée en ce qui concerne le traitement de leur adresse électronique », dit Mozilla.

Pour cela, « nous avons travaillé en étroite collaboration avec ‘Have I Been Pwned ?’ et Cloudflare [une société qui fournit des services à des sites, ndlr] pour créer une méthode de partage de données anonymisées pour Firefox Monitor, qui n’envoie jamais votre adresse mail complète à un tiers, en dehors de Mozilla ». C’est l’approche k-anonymity qui est utilisée pour scanner les comptes exposés.

Une logique de protection de la vie privée dès la conception du service

Quand un internaute teste une adresse mail via Firefox Monitor, celui-ci produit une empreinte et seuls les six premiers caractères de cette empreinte sont envoyés à l’API de « Have I Been Pwned ? ». Le site adresse alors une réponse avec toutes les empreintes ayant cette valeur, moins les six premiers caractères et Firefox Monitor vérifie si l’une d’elles correspond à l’empreinte totale du mail.

Dans ces conditions, le mail n’est jamais transmis en clair et les empreintes d’un côté comme de l’autre ne sont jamais transmises intégralement. Seules des portions utiles sont manipulées et des comparaisons sont ensuite effectuées de chaque côté pour faire émerger des concordances. Si c’est le cas, alors le service indiquera à l’internaute pour quel site la correspondance a été faite.

Le dispositif, prometteur, n’en est toutefois qu’à ses débuts. Une phase de test s’ouvre avec quelques 250 000 internautes mais aucun calendrier à plus long terme n’est pour l’instant établir. « Une fois que nous serons satisfaits des tests utilisateurs, nous travaillerons à rendre le service disponible à tous », prévient la fondation. Mais le jeu en vaut largement la chandelle.

(article mis à jour avec l’ouverture du service)

Article publié initialement le 26 juin 2018

Partager sur les réseaux sociaux