Votre email a fuité ? 1Password et Firefox pourront vous prévenir
Quand un site web se fait pirater, il est censé prévenir ses utilisateurs et leur conseiller de changer de mot de passe par sécurité. Seulement, certaines fuites d’identifiants passent sous le radar. C’est pour cela que le chercheur en sécurité Troy Hunt a créé le site Have I Been Pwned? (« est-ce que je me suis fait avoir ? », abrégé HIBP), qui permet de vérifier si son adresse email ne fait pas partie d’une fuite.
En rassemblant les identifiants issus de nombreuses brèches, la base de données de HIBP comprend au total 3,1 milliards d’adresses emails uniques — qui sont toutes hashées pour des raisons évidentes de sécurité. La vérification se fait de manière sécurisée : l’adresse email que vous saisissez dans le champ de HIBP n’est ni envoyée à un serveur ni enregistrée. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base.
Ce service utile va gagner en popularité. Le gestionnaire de mots de passe 1Password vient de l’intégrer à sa fonction Watchtower sur le web (abonnement à 1Password.com requis). Ainsi, 1Password informe automatiquement l’utilisateur si son adresse email a fuité, à quelle fuite c’est lié, et lui recommande de changer son mot de passe. Cette intégration arrivera plus tard dans l’application de bureau.
Have I Been Pwned? va être encore plus largement disponible en s’intégrant à l’un des principaux navigateurs du marché, Firefox. À partir de la semaine prochaine, Mozilla va inviter environ 250 000 personnes (surtout basées aux États-Unis) à tester cette intégration baptisée Firefox Monitor. Une fois que les tests seront concluants, tous les utilisateurs du navigateur y auront droit.
Troy Hunt détaille sur son blog le fonctionnement technique de Have I Been Pwned? et son intégration à 1Password et Firefox. Le gestionnaire de mots de passe a intégré au début de l’année un autre service du chercheur, Pwned Passwords, qui est consacré aux fuites de mots de passe.
Dispo que pour les abonnés ?! ?
C'était de mémoire déjà intégré à Secrets.
j'ai mis deux de mes adresses que je reçois du spam (ou plutôt des sites qui veulent nous tromper, pour en avoir plus de données, carte bleu, mot-de-passe, etc.) parce que c'est interessant de savoir d'où mes mails ont fuité, et j'ai eu comme réponse : Dailymotion, last.fm, Anti Public Combo List (unverified) pour un mail que j'utilise partout où y a du risque à prendre, et Adobe pour une adresse plus sérieuse que j'envisage maintenant de le changer. même que s'ils avaient plus que le mail ils auraient surement utilisé et pas m'envoyer que du spam.
Ce site est une faille de sécurité en tant que tel et le sieur un bouffon qui ne connait rien à la sécurité.
Quand à celui collectant les mots-de-passe c'est probablement le pire qui peut être fait en matière de sécurité.
Ne pas utiliser, et surtout pas sur une adresse email que vous ne souhaitez pas donner à Google, NewRelic ou d'autres malfaisants.
@iapx
Ça me fait toujours rire les personnes qui parlent sans connaître et qui relaient de fausses informations ou de mauvais conseils.
Troy Hunt est un professionnel connu et reconnu dans domaine.
@iapx
Il ne demande pas ton mot de passe juste ton email.
Il ne détient rien d’en théorie dangereux.
Et pour le défendre, si des boites comme 1password ou Mozilla l’embauchent c’est que son site est sérieux.
Perso je le remercie d’avoir créé son site.
Dashlane indique, depuis pas mal de temps, dans le tableau de bord de sécurité, si un site utilisé a été piraté et invite donc à changer le mot de passe. De plus, ce logiciel attire l'attention sur les mots de passe faibles et/ou ceux utilisés pour plusieurs sites.