61 rue Henri Barbusse 92110 Clichy Levallois
info@issmi.fr

Firefox vous dira si vos identifiants ont atterri dans une base piratée

ISSMI, trouver un job chez des grands comptes

Firefox vous dira si vos identifiants ont atterri dans une base piratée

« Have I Been Pwned » (HIBP) est un service bien connu des amateurs de sécurité informatique : ce service en ligne hébergé par Troy Hunt permet de vérifier que votre adresse email n’a pas atterri dans l’une des nombreuses bases de données piratées.

« Le plus souvent, il s’agit d’identifiants utilisés pour un service vieux de plusieurs années, que l’internaute a déjà oublié depuis longtemps »
explique Troy Hunt dans un post de blog. Il précise également que dans la plupart des cas, les internautes affectés par ces failles le découvrent grâce à son service, mais Troy Hunt est conscient des limites de son système : le chercheur explique avoir amassé un peu plus de 5 milliards d’identifiants, mais que son service ne touche qu’une infime portion d’utilisateurs.

 

En conséquence, Have I Been Pwned annonce de nouveaux partenariats afin de toucher une audience plus large. Le premier d’entre eux sera avec le navigateur Firefox : HIBP avait déjà eu droit à une première fonctionnalité en partenariat avec Firefox, permettant d’afficher la liste des services ayant été victimes d’une fuite de données.

Troy Hunt explique que cette initiative mineure lui avait valu beaucoup d’attention de la part des médias, ce qui l’a poussé à poursuivre le développement de son partenariat, qui prend aujourd’hui une nouvelle forme avec l’arrivée prochaine de Firefox Monitor.

Déploiement au compte goutte

Firefox Monitor sera lancé « dans les prochaines semaines » selon Mozilla. Celui-ci s’appuiera sur une API afin de permettre aux utilisateurs de Firefox de vérifier si une adresse email est présente dans la base de données d’identifiants compromis amassée par HIBP. Celui-ci prendra la forme d’une page dédiée, hébergée chez Mozilla, et qui permettra aux utilisateurs de profiter du service de vérification d’adresse email proposé par HIBP directement intégré au sein de Firefox.

Le service sera dans un premier temps réservé à une audience réduite de 250.000 utilisateurs américains du navigateur, avant d’être progressivement étendu. Mozilla ne donne pas de calendrier précis pour le lancement de ce nouveau service.

Troy Hunt et Mozilla expliquent également avoir travaillé avec Cloudflare afin de permettre à Mozilla d’accéder à la base de données hébergée par HIBP en limitant les risques pour les utilisateurs : ainsi, l’adresse mail entrée sur Firefox Monitor n’est pas transférée en clair vers le service de Troy Hunt, mais seul une partie du hash est comparée avec la base, une technique développée par Cloudflare et inspirée du modèle « k-anonymity » développé dans les années 90 par des chercheurs.

Troy Hunt annonce également le développement de son partenariat avec l’éditeur du gestionnaire de mot de passe 1password, initialement annoncé en mars. Il s’agira là aussi d’offrir un accès au service HIBP directement intégré au sein de l’application 1Password : la fonctionnalité est baptisée « Watchtower » et sera accessible via le panneau de contrôle web offert par 1Password.