Concernant Have I Been Pwnd? il y a pas mal de gens réticents à l’utiliser de peur que ça aspire ce qu’ils saisissent. Et c’est aussi prendre le risque qu’un site frauduleux se fasse passer pour lui.
https://mastodon.tetaneutral.net/@Natouille/105820437840086551
Il y a deux parties à Have I Been Pwnd?. La première partie c’est une solution pour laisser son email et être averti dès qu’une brèche concerne un de vos comptes.
Là dessus il n’y a aucun risque de sécurité, que du bénéfice. Si vous ne vous êtes pas enregistré, faites-le.
On laisse certes son email mais pour l’instant personne n’a relevé de spam sur ce service (et croyez-moi, il doit y avoir des milliers d’informaticiens qui ont du essayer de mettre une adresse de test spécifique).
La seconde partie propose de saisir son mot de passe et regarde s’il est présent dans la base de données des mots de passe déjà connus.
Troy Hunt a établi un protocole qui permet de vérifier si un mot de passe est dans la base sans avoir à transmettre ce mot de passe au serveur. C’est simple à lire et à comprendre, et ça ne laisse aucune part au doute : Tant qu’on suit ce protocole, tester un mot de passe ne présente aucun risque de divulgation. Aucun.
La seule vraie question est « pouvons-nous faire confiance au site web dans lequel nous saisissons le mot de passe pour suivre ce protocole et ne pas envoyer notre saisie quelque part sur un serveur ? »
Il n’y a pas eu de brèche ou de malveillance sur Have I Been Pwned? jusqu’à présent mais, évidemment, ça n’est en rien une garantie absolue pour l’avenir.
Si vous voulez plus de sécurité, deux possibilités :
- Utiliser un site web ou un outil en qui vous avez plus confiance pour qu’il implémente correctement le protocole de Have I Been Pwned?
- Télécharger la base en local sur votre poste, et utiliser un outil en qui vous avez confiance pour chercher dedans.
Des gestionnaires de mots de passe comme Dashlane et Bitwarden proposent de tester directement vos mots de passe depuis le logiciel. Il faut avoir confiance mais, si vous les utilisez comme gestionnaire de mots de passe, c’est à priori déjà le cas.
Ce que je proposais quand je parlais de mot de passe fort et interface c’est exactement ça : C’est au logiciel ou au site web à qui vous allez confier votre mot de passe de toutes façons de le vérifier auprès de la base Have I Been Pwnd? (qu’ils auront téléchargé en local sur leur serveur). Ainsi il n’y a aucun besoin de faire confiance à un acteur tiers, aucun risque supplémentaire.
Ok, mais c’est quoi ce protocole ? Comment peut-on vérifier mon mot de passe sans le divulguer ?
On utilise des condensats, ici SHA1.
Plus exactement on calcule la somme SHA1, sur 40 caractères hexadécimaux, et on envoie les 5 premiers caractères au serveur. Le serveur nous répond avec la liste des sommes SHA1 de mots de passe connus qui partagent les mêmes 5 premiers caractères. À moi de vérifier que le mien ne fait pas partie de cette liste.
Vous lirez que SHA1 n’est pas idéal pour des mots de passe, encore moins sans ajout d’un sel aléatoire. Pour autant il n’y a aucun moyen connu à ce jour pour même imaginer trouver une information partielle à propos de votre mot de passe à partir des 5 premiers caractères de la somme SHA1.
La seule chose possible c’est éventuellement se dire « c’est peut-être un des mots de passe connus qui partagent le même début de somme de contrôle ». L’information ne présente aucun intérêt puisque si justement c’était un de ceux-ci, vous auriez été informés de ne pas l’utiliser. Du coup, en creux, l’information devient « Quelqu’un utilise un mot de passe, et ce ne sera pas un mot de passe connu ». Bref, c’est exactement notre objectif, tout va bien.
Laisser un commentaire