Dix ans de « Have I Been Pwned »
(troyhunt.com)- Have I Been Pwned (HIBP), lancé par Troy Hunt le 4 décembre 2013, est parti d’un projet personnel permettant de vérifier par e-mail si l’on avait été victime d’une fuite, pour devenir dix ans plus tard une infrastructure de sécurité dont dépendent particuliers, entreprises et administrations
- Il était difficile d’obtenir un domaine
.comavec un nom ordinaire, et ce choix ne partait pas de l’idée que le projet durerait longtemps, mais le mot pwned est désormais fortement associé à HIBP - Grâce à l’exposition médiatique, à un témoignage devant le Congrès américain, à la coopération avec des forces de l’ordre comme le FBI et la NCA britannique, ainsi qu’au lancement de Pwned Passwords, le rôle de HIBP a dépassé celui d’un simple site de recherche
- En 2019, Project Svalbard, un projet d’étude d’une vente, a été mené dans un contexte de stress personnel et de dépendance du service, mais n’a pas abouti ; Hunt y a reconfirmé à quel point son indépendance comptait pour lui
- Les fuites devraient continuer à se multiplier, et HIBP va évoluer vers un fonctionnement plus formalisé, tout en évitant de devenir une grande organisation et une charge que Hunt ne souhaite pas
D’un petit projet à une infrastructure vieille de dix ans
- Le 4 décembre 2013, Troy Hunt a rendu le service public avec un tweet annonçant que « Have I Been Pwned? » commençait à fonctionner
- Le lendemain, il a publié sur son blog la méthode qui permettait de rechercher rapidement parmi 154 millions d’enregistrements, et les billets portant le tag HIBP étaient au nombre de 185 à l’article du dixième anniversaire
- Le bilan des dix ans couvre à la fois la manière dont le service a été construit, les décisions d’exploitation, plusieurs incidents de compromission, ainsi que certaines expériences dont il n’avait pas parlé publiquement jusque-là
Pourquoi « Pwned » ?
- Le choix du nom tenait à la réalité suivante : il était difficile d’obtenir un domaine
.comavec un nom anglais ordinaire, et l’on ne s’attendait pas vraiment à ce que le projet dure longtemps - « pwned » est devenu progressivement presque synonyme de HIBP, et beaucoup de gens ont découvert ce mot pour la première fois dans le contexte de « Have I Been... »
- Les ressources en ligne qui expliquent le sens de « pwned » citent aussi comme exemple HIBP, créé par Hunt en 2013
- Le nom étant souvent mal prononcé ou mal saisi, Hunt a fini par posséder plusieurs variantes de domaines
haveibeenpaened.comhaveibeenpwnded.comhaveibeenporned.comhaveibeenprawned.comhaveibeenburned.comhaveigotpwned.comhaveibeenrekt.comhaveibeenfucked.com
Exposition médiatique et choc de trafic
- Chaque fois qu’une fuite de données devient un sujet d’actualité grand public, HIBP est souvent cité comme « l’endroit où vérifier si l’on est touché »
- L’exposition médiatique a accru sa notoriété, mais après la diffusion en 2016 de l’émission britannique Martin Lewis Money Show, elle a généré un trafic tel que le service est devenu indisponible
- Hunt a tiré de cette expérience des leçons sur la gestion de très fortes hausses de trafic, et a pris des mesures pour éviter que cela ne se reproduise
- En 2018, Gizmodo a classé HIBP parmi les « 100 sites web qui ont façonné Internet », aux côtés de Wikipedia, Google, Amazon et d’autres
- En 2014, TIME a sélectionné HIBP parmi les 50 meilleurs sites web de l’année
- HIBP est aussi apparu dans de nombreux grands médias, dont The Wall Street Journal, The Standard, USA Today, Toronto Star, De Telegraaf, VG, Le Monde et Corriere della Sera
Témoignage devant le Congrès américain
- Il y a environ six ans, Hunt a témoigné devant le Congrès américain sur l’impact des fuites de données sur la vérification d’identité
- Comme il s’agissait d’une audition publique, la vidéo du témoignage est restée dans les archives
- Cette expérience, consistant à répondre aux questions des parlementaires, demeure l’un des moments les plus mémorables de la carrière de Hunt
- La photo de l’époque est aujourd’hui accrochée au mur à l’extérieur de son bureau, et lui rappelle sans cesse comment HIBP l’a mené jusque-là
Project Svalbard et l’échec de la vente
- En juin 2019, Hunt a rendu publique la possibilité de vendre HIBP sous le nom de Project Svalbard
- L’une des principales raisons de cette décision était alors le stress, et il a révélé plus d’un an plus tard qu’une cause importante de ce stress était son divorce
- Les problèmes relationnels créaient une forte pression, et Hunt pensait que vendre un projet qu’il aimait, mais dont les exigences augmentaient sans cesse, pourrait être une porte de sortie
- Project Svalbard a au contraire débouché sur un litige juridique avec son ex-conjointe, et la valeur qui aurait vraisemblablement été réalisée en cas de vente est devenue une partie du différend
- Alors qu’il discutait avec plusieurs entreprises tech de San Francisco susceptibles d’acquérir le service, un potentiel nouveau supérieur lui a demandé à quoi ressemblerait « une journée de bureau parfaite » ; Hunt a alors compris à quel point son indépendance était importante
- Six mois plus tard, Project Svalbard s’est terminé par l’échec d’une transaction qui avait été conclue
- Les circonstances exactes ne peuvent pas être évoquées en raison d’un NDA, et l’expression utilisée publiquement a été « un changement dans l’environnement commercial du côté de l’acheteur »
- Avec le recul, Hunt estime avoir perdu beaucoup de choses, mais se dit très soulagé de cette issue
Coopération avec le FBI, la NCA et les forces de l’ordre
- Pour le Hunt d’il y a dix ans, l’idée que le FBI soit publiquement associé à HIBP aurait été totalement inattendue
- Le FBI fournit des données à HIBP, tout comme la NCA britannique et plusieurs forces de l’ordre dans le monde
- Plusieurs gouvernements nationaux en sont également venus à parler publiquement de leur utilisation de HIBP
- En septembre 2023, ABC a présenté le rôle de HIBP et de Hunt comme un « signe étrange de l’époque », estimant qu’« une personne sur le web » avait fini par occuper un rôle étrangement central dans la cybersécurité mondiale
- L’objectif de HIBP est de « faire quelque chose de bien après qu’une mauvaise chose s’est produite », ce qui rejoint aussi l’objectif des forces de l’ordre qui cherchent à protéger les personnes
- Hunt ne comprenait pas, il y a dix ans, que les forces de l’ordre travaillent souvent avec des entreprises privées pour protéger les gens ; aujourd’hui, il entretient des relations productives avec des personnes de plusieurs agences
La croissance de Pwned Passwords
- À l’origine, il n’était pas prévu d’intégrer les mots de passe à HIBP, et Hunt estimait qu’il fallait éviter toute situation où un mot de passe apparaîtrait à côté d’un nom d’utilisateur
- Il a toutefois jugé qu’une liste de mots de passe compromis, séparée des données personnelles, pouvait être une façon d’utiliser des données de compromission à de bonnes fins
- Pwned Passwords a été lancé en 2017
- En septembre 2023, Pwned Passwords a enregistré 282 millions de requêtes en une journée, et le cumul sur 30 jours a dépassé les 6 milliards de requêtes
- Selon les statistiques les plus récentes au moment du bilan, le service a traité 301,6 millions de requêtes par jour sur une semaine, et 100.0000000000 % de ces requêtes ont été servies depuis le cache Cloudflare
- Le service est gratuit et ne nécessite pas d’authentification ; le code comme les données sont open source, et le FBI fournit des données
- Hunt estime qu’une part importante des comptes compromis lors d’attaques de credential stuffing contre de grands services en ligne utilisent des mots de passe qui auraient pu être bloqués
Le paradoxe du traitement des données compromises
- HIBP porte un paradoxe : il traite des données issues de fuites, qui sont le produit d’activités criminelles, tout en cherchant à servir l’intérêt général
- Certaines personnes disent vouloir le signaler au FBI au motif qu’il détient des données volées, mais Hunt coopère déjà avec le FBI
- Des critiques ont aussi été formulées au nom des lois sur la protection des données personnelles, en particulier dans l’UE et avec le RGPD, au motif qu’il « traite des données sans consentement »
- Hunt considère que personne ne consent à être inclus dans une fuite de données, et que l’incident de fuite et le fait que HIBP l’indexe pour la rendre consultable sont deux sujets distincts
- En dix ans, les plaintes ont globalement été peu nombreuses, au point que le nombre de cas annuels se comptait sur les doigts d’une main
- Une plainte officielle transmise par une autorité publique de protection des données personnelles est survenue une seule fois en dix ans, et elle a été clôturée après que Hunt a répondu aux questions
Personnes et structure d’exploitation
- HIBP a d’abord été un projet de loisir dans lequel Hunt investissait seul son temps
- Les premiers travaux comprenaient la construction du service, l’obtention des données compromises, leur vérification, leur publication, la rédaction des explications, ainsi que la retouche manuelle de plus de 700 logos
- Aujourd’hui, HIBP est devenu une partie importante d’Internet dont dépendent de nombreux particuliers, entreprises et administrations, ce qui accentue le problème de dépendance à une seule personne, Hunt
- En 2019, l’étude d’une vente s’expliquait aussi en partie par cette « structure dépendante d’un seul Hunt »
- Il existait aussi l’option de recruter et de développer l’activité comme une entreprise classique, mais Hunt ne trouvait pas séduisantes les responsabilités liées aux contrats de travail, aux négociations salariales, aux évaluations de performance, aux arrêts maladie et aux congés
-
Le rôle de Charlotte
- Début 2021, Charlotte, qui allait bientôt devenir son épouse, a commencé à travailler pour HIBP
- Charlotte avait passé huit ans comme cheffe de projet pour la conférence NDC basée en Norvège, où elle interagissait avec des développeurs logiciels, des intervenants, des participants, des sponsors et des participants issus d’entreprises
- Elle n’était pas responsable technique, mais elle disposait de diplômes en relations publiques et en entrepreneuriat, et connaissait aussi bien l’univers technologique dans lequel s’inscrit HIBP
- Charlotte s’occupe de l’onboarding des abonnés entreprise, des tickets de support liés à l’API et aux abonnements de domaines, ainsi que de la comptabilité et de la fiscalité
-
Le rôle de Stefán Jökull Sigurðarson
- Début 2023, Stefán Jökull Sigurðarson a rejoint l’équipe à temps partiel pour prendre en charge divers travaux de développement, dont l’écriture de code, le nettoyage et les migrations
- Stefán suivait le service depuis le lancement de HIBP et, début 2018, il a développé chez EVE l’une des premières grandes intégrations de l’API PwnedPasswords v2
- Il considère que HIBP a fait partie de son parcours vers les conférences publiques, les contributions open source, son rôle de MVP et sa contribution à un Internet plus sûr
- Pour Hunt, il est important que HIBP soit pour Stefán non pas simplement un emploi, mais une passion
Cas de compromission mémorables
- En dix ans, 731 compromissions ont été intégrées à HIBP
-
Ashley Madison
- L’incident de 2015 a eu un fort impact sur l’utilisation de HIBP, et a aussi profondément marqué les échanges de Hunt avec les victimes
- Ce que les membres d’Ashley Madison ont dit à Hunt reste un texte difficile à lire
-
Collection #1
- Début 2019, cet épisode a fortement accru le stress de Hunt et a profondément influencé sa décision d’étudier la vente du service
- Avec 773 millions d’enregistrements, il s’agissait, au moment du bilan, de la plus grande compromission présente dans HIBP
-
Rosebutt
- Un exemple montrant que même une fuite de données grave peut parfois produire des moments absurdes
-
Shit Express
- Un site permettant d’envoyer anonymement un morceau d’excrément a été compromis, ébranlant cette anonymat
- Hunt a ensuite écrit que les promesses d’anonymat sont souvent très trompeuses
La suite
- Le quotidien de Hunt ressemble à ceci : vérifier les e-mails et les événements survenus pendant la nuit le matin, puis avancer en fonction de ce que la journée exige
- Ce mode de fonctionnement explique en partie pourquoi il ne souhaite pas que HIBP devienne une organisation plus grande, porteuse de responsabilités accrues
- En même temps, HIBP devient progressivement plus formalisé
- Il y a trois ans, Hunt faisait encore 100 % de tout lui-même
- Il y a un an, il faisait encore tout le travail technique lui-même
- Il y a six mois, il n’existait pas de système de tickets pour le support
- Hunt souhaite que HIBP lui survive, mais ne veut pas que ce processus devienne une charge qui l’entrave
- Il pense que les compromissions seront encore plus nombreuses à l’avenir, et dit avoir récemment l’impression que les ransomwares augmentent rapidement
- Une question demeure : les personnes présentes dans les e-mails, documents et diverses données publiées à la suite de ransomwares apprennent-elles qu’elles ont été exposées ?
- Indexer ces données n’est pas simple pour de nombreuses raisons, mais cela apparaît comme un travail de plus en plus précieux
1 commentaires
Avis sur Hacker News
Troy Hunt est vraiment précieux, et si vous développez des applications web, il n’y a aucune excuse pour ne pas se protéger contre le credential stuffing.
La meilleure solution est sans doute l’authentification à deux facteurs[1], mais comparer les mots de passe à la base de données de mots de passe hachés de Hunt constitue aussi une assez bonne défense, sans charge supplémentaire pour l’utilisateur.
Je n’ai pas de source à l’appui, mais je pense que l’immense majorité des comptes compromis le sont à cause du credential stuffing ou de la réutilisation de mots de passe. C’est surprenant d’entendre dire que de grandes entreprises ne font pas ce contrôle, alors qu’il est simple à mettre en place et qu’une journée environ devrait suffire.
Si vous êtes un jeune CTO ou un ingénieur webapp en début de parcours, il se peut qu’un jour, à 1 h du matin, vous receviez une avalanche d’appels, que votre site se fasse pilonner, que vous pensiez d’abord à une attaque DDoS, puis que vous réalisiez que l’essentiel du trafic se concentre sur la page de connexion, et que certains de ces essais aboutissent réellement. C’est glaçant. Ensuite, il faut gérer l’incident toute la nuit et envoyer des notifications de violation, ce qui est franchement pénible.
La base de données gratuite de Troy Hunt réduira probablement cette douleur, donc autant le faire.
Un employé s’était indigné en y voyant une atteinte à la vie privée, et je ne me souviens plus qui avait lancé l’action en justice, mais la conclusion de l’agent du FBI et du juge était que, même si l’administrateur système avait l’intention d’améliorer la sécurité, le simple fait d’accéder aux hachages de mots de passe dont il avait la charge constituait une atteinte criminelle à la vie privée.
Si l’agent du FBI n’a pas inventé cette histoire, il semble prudent de passer par un examen juridique avant de vérifier si les hachages des mots de passe des employés figurent dans haveibeenpwned.
Par exemple, si 20 échecs de connexion surviennent au cours de la dernière minute depuis la même IP ou pour le même nom d’utilisateur, on bloque cette IP ou ce nom d’utilisateur pendant 15 minutes. Beaucoup d’API gateways, d’ingress K8s, etc. le prennent en charge très facilement ; sinon, on peut stocker le nombre de tentatives de connexion récentes dans Redis, par exemple, et l’ajouter en quelques lignes de code.
Comparer avec la base de données HIBP est aussi une bonne option, mais pour bloquer cette attaque, la limitation de débit est beaucoup plus efficace.
Par exemple, même si Tumblr a été piraté et que mon mot de passe
hunter2a fuité, si Tumblr utilisait un simple HMAC-MD5 avec sel et que mon site utilise évidemment argon2 avec un sel différent, le hachage obtenu sera différent même pour le même mot de passe. Je ne vois pas en quoi cela aide à prévenir le credential stuffing.Il vaut mieux configurer OAuth social, SSO ou des e-mails avec lien magique et transférer le problème à quelqu’un d’autre.
1234comme mot de passe.Si ce n’est pas un site destiné à des personnes vulnérables, j’estime que c’est la responsabilité de l’utilisateur. Comme le disent d’autres commentaires, ce type d’utilisateur corrigera probablement l’erreur de la manière la plus simple possible, du genre
1234nomdusite.Toute contrainte ajoutée à un champ de mot de passe réduit l’entropie et, même si c’est marginal, diminue la sécurité de tout le monde.
Je me souviens que ce site offrait autrefois une excellente expérience, mais aujourd’hui cela ressemble à une machine à cash où il faut payer 169,50 $ par an pour voir 100 comptes compromis.
J’utilise une adresse e-mail unique pour chaque site afin de détecter les fuites de données, et lorsque j’ai voulu rechercher les résultats d’un domaine dont j’avais déjà vérifié la propriété, j’ai obtenu une erreur indiquant qu’« une souscription de taille suffisante est nécessaire pour rechercher un domaine comptant plus de 10 comptes compromis ».
Pire encore, Troy inclut même des ensembles de données publiques comme des « fuites », ce qui gonfle artificiellement le quota de comptes. Par exemple, quand une collection de contacts publics aspirés depuis GitHub a fuité, elle a aussi été comptabilisée comme une fuite, alors que mon adresse e-mail y était explicitement publique.
Pour un service à si faible coût, je serais prêt à payer 5 à 12 dollars par an, mais le prix actuel est absurde.
L’inconvénient, c’est qu’il faut gérer soi-même la base de données et la mettre à jour fréquemment. J’ai vu apparaître pas mal de services de ce genre qui monétisent l’accès à une base de données via API.
Considérer ce cas très spécifique comme une vache à lait pour Troy Hunt me paraît exagéré.
Je ne me souviens pas avoir vu de notification à propos de ce changement.
Ça commence comme un bon service, puis quand l’usage augmente, on met des fonctionnalités derrière un paywall et on dégrade l’offre gratuite jusqu’à la rendre inutile : un mauvais modèle freemium. Facebook a beau être mauvais, il n’est pas allé aussi loin ; le « Facebook gratuit » a simplement accru le pistage, tout en conservant à peu près les fonctionnalités de 2010.
Des variantes comme
haveibeenburned.com,haveigotpwned.com,haveibeenrekt.com, ou encorehaveibeenfucked.com, proposée par quelqu’un après qu’on a appris que PornHub suivait le site, sont apparues comme effet secondaire de la notoriété médiatique, et c’est assez drôleÀ la place, on pourrait peut-être créer une base de données de hashs de reconnaissance faciale de revenge porn, puis envoyer un hash similaire de son propre visage pour vérifier s’il se trouve quelque part en ligne
C’était un niveau d’embarras que je n’aurais jamais imaginé
J’aime vraiment les billets informatifs de Hunt
Je me souviens avoir lu comment utiliser la k-anonymité pour comparer un mot de passe aux fichiers pwned sans transmettre de données personnelles réelles ; cela m’a amené à étudier le concept, puis à l’utiliser aussi dans des projets professionnels
Je me demande parfois comment j’aurais procédé si je n’avais pas lu ces articles expliquant comment vérifier sans transmettre de données personnelles réelles
Je voudrais aussi mentionner Junade Ali, que Troy cite comme la personne ayant proposé l’idée[1]. Il l’explique plus en détail dans un billet connexe[2]
Je ne dis pas que Junade l’a inventée — elle semble à l’origine être attribuée à Pierangela Samarati, Latanya Sweeney et Tore Dalenius[3] —, mais son billet de blog en donne une explication très claire avec des concepts familiers aux développeurs logiciels
[1] https://www.troyhunt.com/ive-just-launched-pwned-passwords-v...
[2] https://blog.cloudflare.com/validating-leaked-passwords-with...
[3] https://en.wikipedia.org/wiki/K-anonymity
Des escrocs au chantage utilisent la base de données de mots de passe pwned pour fabriquer des e-mails de phishing assez crédibles
Du genre : « J’ai installé un outil d’accès à distance sur ton système et je t’ai observé via ta webcam. La preuve du piratage, c’est ce mot de passe. Envoie 1 800 dollars en BTC à cette adresse et ne va pas voir la police. La prochaine fois, utilise un gestionnaire de mots de passe. » Je me demande si des gens tombent vraiment dans ce genre d’arnaque
La plupart doivent être bloqués par les filtres antispam, et je ne les ai vus que lorsqu’ils passaient les filtres SPF/DKIM, ce qui m’a permis de les entraîner davantage. Ça paraît assez malin
Je suis reconnaissant pour le service lui-même et j’aime aussi lire les articles de Troy Hunt. HIBP est excellent
Il ne contenait pas un ancien mot de passe, mais l’adresse postale complète et les 4 derniers chiffres de la carte bancaire, et il y a bien des gens qui y croient
Cette fonctionnalité seule ne permet pas ce type d’attaque
J’ai moi-même reçu un ou deux e-mails de ce type, et je n’avais aucune idée du site sur lequel j’avais utilisé ce mot de passe plutôt faible
Une recherche rapide m’a montré que ce n’était pas un mot de passe utilisé pour des services importants à mes yeux, donc je suis passé à autre chose, mais même en sachant que c’était un ancien mot de passe, ça restait dérangeant
Si je n’avais pas utilisé de gestionnaire de mots de passe, je n’aurais pas pu vérifier immédiatement où ce mot de passe avait été utilisé et j’aurais dû me creuser la mémoire ; j’ai du mal à imaginer cette sensation
L’impact de HaveIBeenPwned sur la sensibilisation des utilisateurs mérite d’être souligné
En revanche, j’ai l’impression que SpyCloud, qui dispose d’un jeu de données 30 fois plus grand et travaille directement avec les entreprises pour réduire concrètement la réutilisation des mots de passe, ne reçoit pas assez de reconnaissance
Si l’on vous a déjà demandé de réinitialiser votre mot de passe lors de la connexion à un grand site web, ou si vous avez déjà reçu un e-mail vous demandant de changer un mot de passe parce qu’il était utilisé à plusieurs endroits, il y a de fortes chances que SpyCloud ait été derrière
En réalité, il le fait. Par exemple via des collaborations avec 1Password et d’autres gestionnaires de mots de passe, Firefox, le FBI, ainsi que les gouvernements britannique et australien
Cette dernière n’est d’aucune utilité pour la plupart des gens
Pour les personnes soucieuses de leur vie privée, la procédure pour retirer ses informations de la recherche publique se trouve ici
https://haveibeenpwned.com/OptOut
Quelqu’un qui veut faire des choses malveillantes avec des e-mails téléchargera probablement les listes sources complètes plutôt que de scraper un site d’agrégation
À noter qu’il est indiqué que « l’administrateur du domaine auquel appartient l’adresse e-mail peut toujours vous voir dans la recherche par domaine »
Je me demande combien de victimes de harcèlement, au cours des dix dernières années, ont découvert que leur agresseur utilisait HaveIBeenPwned comme un outil pratique pour retrouver leurs comptes et leur vie privée, puis les compromettre.
Bien sûr, la position du site est que les victimes devraient s’inscrire à l’avance et désactiver leur exposition dans les recherches avant que des acteurs malveillants n’utilisent le service.
Autrement dit, provoquer chez un autre utilisateur, dès la saisie d’une adresse, le choc du « vos informations sont dehors ! » serait plus important que la sécurité des utilisateurs, plutôt que de n’afficher cela qu’après vérification de l’e-mail.
Si quelqu’un possède l’adresse e-mail d’une personne, a-t-il vraiment besoin de HIBP pour savoir où cette adresse a été utilisée ? Google ne donne-t-il pas déjà beaucoup de résultats ?
J’aimerais voir les hashes pour pouvoir savoir quels mots de passe ont été compromis.
« Je fais ce que je veux en jet-ski » : Troy Hunt serait-il une variante de Mobius ?
Je me demande s’il a déjà beaucoup écrit sur les détails de son divorce.
Faut-il comprendre que cela a été long et coûteux à cause du partage des actifs à 50 % et du processus visant à déterminer qui possède quoi ?