La fausse bonne idée de tester son mot de passe en ligne

Publié par Richard Dern le dans Réflexions. Télécharger en PDF

Depuis quelques années maintenant, suite à de nombreuses affaires de vol de mot de passe, on voit la popularité de certains services en ligne augmenter de façon significative.

Il s'agit de sites Internet où il est possible de saisir son mot de passe (ou son adresse email), afin de déterminer s'il figure dans des listes connues pour avoir été dérobées/fuitées.

Le plus connu d'entre eux est probablement Have I been pwned ? (HIBP), qui a été créé en 2013 suite à un leak de données chez FaviconAdobe le 3 octobre 2013, contenant les identifiants et mots de passe de 153 millions de comptes utilisateurs.

Depuis, leur base de données s'est étoffée, et HIBP permet de chercher son adresse email ou son mot de passe dans une base de données gargantuesque: à l'heure où j'écris ces lignes, ils recensent près de 8 milliards de comptes compromis.

Depuis quelques temps, Faviconils fournissent même une API, c'est à dire une interface à utiliser dans n'importe quelle application pour intégrer ce test. Une API qui est notamment utilisée dans les Faviconadd-ons communautaires de HomeAssistant, entre Faviconautres.

En intégrant cette API à leurs applications, les développeurs permettent aux utilisateurs, au moment même de l'installation de leur application, si elle nécessite de renseigner un mot de passe, de vérifier que le mot de passe choisi par l'utilisateur, n'a pas déjà été corrompu.

La fondation FaviconMozilla a même décidé d'intégrer ce concept directement à son navigateur, FaviconFirefox, par l'intermédiaire d'un nouveau service, FaviconMonitor.

Pour en revenir à HIBP, ils publient Faviconune page où ils expliquent, bien entendu, tout ce que les utilisateurs ont besoin de savoir en ce qui concerne leur vie privée lors de l'usage du service. Et ils se veulent, bien sûr, très rassurants: ils stockent le FaviconSHA-1 des mots de passe et non les mots de passe eux-même, il est impossible de dire à qui appartient le mot de passe testé, etc.

En fait, ils font très bien leur travail. En effet, les données qu'ils possèdent sont sûrement stockées correctement, et les requêtes traitées correctement. Le fait est qu'on ne dispose que de cette page et de leur bonne volonté. Il y a tout de même un élément qui fait tache: ils prétendent tout faire au nom de la vie privé, et pourtant utilisent Google Analytics. C'est, pour moi, lancer deux messages contradictoires.

Mais le problème avec ces services vient d'ailleurs. De partout ailleurs, en fin de compte. Parce que le fait même d'utiliser ce service constitue en soi une faille de sécurité. Parce qu'entre le moment où la requête est effectuée, et où la réponse est renvoyée, il peut se passer beaucoup de choses.

Par exemple, dans leur politique de confidentialité, ils indiquent "faire un usage intensif de FaviconCloudflare afin de bloquer les requêtes potentiellement malveillantes". Cloudflare est un service de distribution de contenu, qui fonctionne comme un proxy inverse ; c'est-à-dire que toute requête qui est envoyée à HIBP passe d'abord par Cloudflare. Là encore, en théorie, c'est une bonne chose: Cloudflare a prouvé par le passé sa capacité à gérer les attaques de type DDoS, comme par exemple le 27 mars 2013, où ils ont pu mitiger la plus grosse attaque de ce type de l'histoire d'Internet, à plus de 300Gbps.

Par ailleurs, ils se revendiquent comme des protecteurs de la neutralité du net. Or, en novembre 2015, suite aux attentats terroristes de Paris, les Anonymous ont renouvelé leurs accusations, selon lesquelles Cloudflare aiderait les terroristes. En effet, déjà en janvier de la même année, on apprenait que Cloudflare hébergeait certains sites de l'État Islamique. Mais cela n'a pas empêché Cloudflare de rompre par eux-mêmes le principe de neutralité du net, lorsque le 16 août 2017, ils décidèrent de couper l'accès à un site de suprémacistes blancs. ils coupent l'accès à un site de suprémacistes blancs, mais pas aux sites appartenant à des organisations terroristes ? Curieux, non ?

Le problème avec Cloudflare vient surtout du fait qu'occasionellement, ils sont eux-même la cible d'attaques. Comme le 12 juillet 2012, où ils se sont fait trouer à cause d'une faiblesse dans l'identification à facteur double de Google, ou entre 2016 et 2017, quand un bug de la plateforme a laissé fuiter des jetons d'authentification des clients.

Toujours selon la politique de confidentialité de HIBP, on apprend qu'ils font également usage de Microsoft Azure, la plateforme cloud de Microsoft. Or, via le Patriot Act, le gouvernement américain a la possibilité d'accéder aux données que Microsoft héberge. Donc, aux journaux d'accés aux serveurs de HIBP, notamment. Ce sont donc des données qui peuvent potentiellement fuiter, puisque quelqu'un peut y accéder.

Avec ce dernier exemple, je fais peut être preuve de paranoïa, j'en conviens. Mais utiliser Cloudflare et Azure, loin de me rassurer, cela a plutôt tendance à m'inquiéter.

Il existe bien d'autres dangers à utiliser les services de HIBP, ou même de Monitor. J'ai trois exemples en tête, contre lesquels ni HIBP ni Monitor ne peuvent pas grand chose: les attaques de type man-in-the-middle, théoriquement possibles via Cloudflare pour contourner l'usage de HTTPS, l'exploitation de certificats problématiques (cela s'est déjà produit chez Dell, par exemple, Faviconen novembre 2015, et on a pu en observer les conséquences désastreuses), et le détournement DNS. Ces trois "faiblesses" seraient totalement transparentes pour les utilisateurs.

Quoiqu'il en soit, je crois fermement que d'une façon ou d'une autre, viendra le jour où HIBP sera lui-même victime d'un problème de sécurité. Non pas que ce problème impliquera l'accès aux mots de passe stockés, encore que déjà en 2005 on a déterminé que SHA-1 n'était plus un mode de chiffrement sûr, mais en se plaçant entre les utilisateurs désireux de tester leur adresse email ou leur mot de passe et le fournisseur de services, on peut utiliser les données transitant entre l'un et l'autre à de mauvaises fins.

Par exemple, facebook sait déjà comment utiliser des données qui ne désignent pas directement quelqu'un afin de constituer un profil de cette personne. Ce sont les "fameux" comptes fantômes. Pour aboutir à ce résultat, facebook doit analyser des milliards de données.

Or, en théorie, pour identifier un utilisateur de HIBP ou de Monitor, par exemple, quelques informations suffisent: en partant du principe qu'un utilisateur teste son propre mot de passe, et qu'il laisse des traces sur son passage (des cookies, par exemple via Google Analytics), un attaquant peut potentiellement recouper les usages de cette personne, déterminer les sites qu'elle fréquente, et y tester le mot de passe en question.

Vous pensez que c'est impossible ? Au contraire, il n'a jamais été aussi facile d'aboutir à ce genre de raisonnement que depuis qu'Internet est aux mains d'une poignée de géants. Des géants tels que Microsoft, Cloudflare, Google. Si vous pensez que c'est impossible, c'est que vous ne réalisez pas encore à quel point ces entreprises ont la main sur Internet et sur ce qui y transite, et c'est surprenant. L'actualité abonde totalement en ce sens, et pas depuis des mois: depuis des années.

Par conséquent, je considère l'usage de tels services comme contraires à l'instinct de survie sur Internet. Ils partent d'une bonne idée, sont peut être bien sécurisés, mais c'est juste une question de temps avant que quelqu'un ne trouve la faille.

N'envoyez pas stupidement vos mots de passe à un service en ligne, ni vos adresses email, ni d'ailleurs une quelconque information dont vous n'avez pas parfaitement pondéré la valeur, pour vous, mais aussi la valeur qu'elle peut représenter pour d'autres.

Intention de vente de HIBP

Mise à jour du 14/06/2019, 22:17

Je viens d'apprendre, par l'intermédiaire d'une actualité parue sur FaviconLes Numériques, que HIBP est en train d'être vendu par son gestionnaire, Troy Hunt.

Je verrais bien Microsoft ou Google racheter ce site, et surtout, sa base de données. Que ce soit Microsoft ou Google, cela leur permettrait de s'aligner avec Monitor. Peut être même que HIBP a déjà été approché par l'un ou l'autre suite à l'annonce de la fondation Mozilla, avant même qu'on ne l'apprenne par la presse informatique...

Dans tous les cas, cette vente doit se voir comme un évènement inquiétant: à qui vont être transmises les données (emails et mots de passe) déjà récoltées ?

Commentaires

Nouveau commentaire

Si vous indiquez une adresse email, elle ne sera utilisée que pour vous avertir des nouveaux commentaires sur cette page. Vous pouvez utiliser markdown et la coloration syntaxique pour formater votre message.